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内 容 简 介 


全 书 共 分 3 篇 15 章 。 第 1 篇 为 网 络 安全 基础 ， 共 3 章 ， 主 要 讨论 网 络 安全 的 基础 知识 ; 第 2 篇 为 
密码 学 基础 ， 共 5 章 ， 详 细 讨论 各 种 密码 算法 和 技术 ， 特 别 深入 地 介绍 我 国 已 公布 的 标准 密码 算法 ; 
第 3 篇 为 网 络 安全 技术 与 应 用 ， 共 7 章 ， 深 入 介绍 网 络 实践 中 常用 的 一 些 网 络 安全 技术 及 产品 。 

本 书 内 容 丰 富 ， 概 念 清楚 ， 语 言 精练 。 在 网 络 安全 基本 知识 和 密码 学 理论 的 阐述 上 ， 力 求 深入 小 
出 ， 通 俗 易 懂 ; 在 网 络 安全 技术 与 产品 的 讲解 上 ， 力 求 理 论 联系 实际 ， 面 向 具体 应 用 。 本 书 在 每 章 的 
后 面 提 供 了 思考 题 和 练习 题 ， 以 便于 读者 巩固 所 学 的 知识 点 ; 在 书 末 也 提供 了 大 量 的 参考 文献 ， 便 于 
有 兴趣 的 读者 继续 深入 学 习 有 关内 容 。 


本 书 可 作为 信息 安全 、 信 息 对 抗 技术 、 密 码 学 等 专业 的 本 科 生 教材 ， 也 可 以 用 作 网 络 空间 安全 一 
级 学 科 的 研究 生 教 材 。 对 于 广大 网 络 安全 工程 师 、 网 络 管理 员 和 IT 从 业 人 员 来 说 ， 本 书 也 是 很 好 的 参 
考 书 和 培训 教材 。 
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HL 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 、 企 业经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 医 乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 罕 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安 全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 通信、 物理 .数学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 ”等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 经 
过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 丛书 首 批 教材 的 作者 ， 
这 些 作者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诺 、 又 在 教学 第 一 线 有 
丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

O 体系 完整 .结构 合理 .内 容 先进 。 

© 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主 教材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我们 坚持 宁 缺 姓 滥 的 原则 ,成熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安 全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 , 满足 学 生 用 书 的 基础 上 , 还 经 由 专 


家 的 推荐 和 审定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教材 中 ,以 进 一 
步 满 足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 队伍 ,同时 也 
欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 编 写 与 出 版 工 
作 不 断 改 进 ,为 我 国信 息 安全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 初 正式 列 和 人 普通 高 等 教育 “十 一 
五 ”国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ， 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 既 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指导 和 推动 作 
用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ”的 教学 科研 
项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信 息 安全 类 专业 教学 指导 委员 会 组 织 实施 。 
在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 年 ,制定 出 我 
国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通过 经 教育 部 高 等 教育 司 理工 科 
教育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 使 用 。2013 年 ， 
新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 "成立 。 经 组 织 审 查 和 研究 决定 ， 
2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 布 (高 等 学 校 信 
息 安 全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。“ 高 等 院 校 信息 安全 专业 系 
列 教材 ”在 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 指导 下 ,根据 (高 等 学 校 信息 
安全 专业 指导 性 专业 规范 ) 组 织 编写 和 修订 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 时 反 
映 教 学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国信 息 安 全 学 科 的 发 展 不 断 完善 。 

我 们 的 E-mail 地 址 : zhangm@tup.tsinghua.edu.cn;s KAA: IKE. 
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前 言 一 


为 了 加 强 网 络 空间 安全 专业 人 才 的 培养 ， 教育 部 已 正式 批准 在 29 所 大 
学 设立 网 络 空间 安全 一 级 学 科 博 士 点 , 全 国 已 有 128 所 高 校 相继 设立 了 信息 
安全 或 信息 对 抗 本 科 专 业 。 为 了 提高 网 络 空间 安全 人 才 培 养 质 量 , 急需 编写 
出 版 一 批 高 水 平 的 网 络 空间 安全 优秀 教材 。 

作者 作为 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 委员 和 中 国 密 
码 学 会 理事 , 参与 编写 了 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 编制 
的 《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》。 在 本 书 的 编写 过 程 中 ， 力 求 
使 本 教材 的 知识 体系 和 知识 点 符合 《高 等 学 校 信息 安全 专业 指导 性 专业 规 
范 》 的 要 求 ， 并 加 入 了 对 国产 密码 算法 的 阐述 。 

全 书 共 分 3 篇 15 章 。 第 1 篇 为 网 络 安全 基础 ， 共 3 章 ， 主 要 介绍 网 络 
安全 的 基本 概念 、 计 算 机 网 络 的 基础 知识 ， 以 及 TCP/IP 协议 族 的 安全 性 。 
第 2 篇 为 密码 学 基础 ， 共 5 章 ， 主 要 介绍 密码 学 中 的 各 种 密码 算法 和 协议 。 
第 3 篇 为 网 络 安全 技术 与 应 用 ， 共 7 章 ， 主 要 介绍 PKICA、 密 钥 管理 、 无 
线 网 络 安全 ， 以 及 防火 墙 、VPN、IDS 和 身份 认证 等 网 络 安全 技术 与 应 用 。 

本 书 主要 有 以 下 特色 : 

(1) 基本 概念 清晰 ， 表 述 深 入 浅 出 。 在 基本 概念 的 阐述 上 ， 力 求 准确 而 
精练 ; 在 语言 的 运用 上 ， 力 求 顺畅 而 自然 。 作 者 尽量 避免 使 用 上 涩 难 懂 的 语 
言 描述 深奥 的 理论 和 技术 知识 ， 而 是 借助 大 量 的 图 表 进 行 阐述 。 

(2) 内 容 全 面 ， 涵 盖 密 码 学 和 网 络 安全 技术 。 本 书 既 介绍 了 现代 密码 学 
的 知识 ,又 阐述 了 网 络 安全 的 理论 与 技术 , 特别 适合 于 将 密码 学 和 网 络 安 全 
合并 为 一 门 课 进行 授课 的 高 校 。 

(3) 理论 与 实践 相 结合 。 针 对 某 些 网 络 安全 技术 和 产品 ， 本 书 给 出 相应 
的 网 络 安全 解决 方案 , 从 而 使 读者 能 够 深入 而 全 面 地 了 解 网 络 安全 技术 的 具 
体 应 用 ， 以 提高 读者 独立 分 析 问 题 和 解决 问题 的 能 力 。 

(4) 每 章 后 面 都 附 有 精心 振 酌 和 编排 的 思考 题 。 通过 深入 分 析 和 讨论 思 
考题 中 所 列 问题 , 读者 可 加 强 对 每 章 所 学 基本 概念 和 理论 的 理解 ， 从 而 进 一 
步 巩固 所 学 的 知识 。 

(5) 本 书 详细 列 出 了 大 量 的 参考 文献 。 这 些 参 考 文献 为 网 络 空间 安全 学 
科 的 研究 生 和 密码 学 、 信 息 安全 、 信 息 对 抗 技术 等 专业 的 本 科 生 ， 以 及 其 他 
网 络 安全 技术 人 员 提 供 了 深入 研究 相关 专题 的 途径 和 资料 。 
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本 书 可 作为 密码 学 、 信 息 安 全 和 信息 对 抗 技术 等 专业 的 本 科 生 教材 和 网 络 空间 安全 
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在 计算 机 发 明之 前 ， 人 们 主要 靠 物理 手段 〈 如 保险 柜 ) 和 行政 手段 〈 如 制定 相应 的 
规章 制度 ) 来 保证 重要 信息 的 安全 。 在 第 二 次 世界 大 战 期 间 ， 人 们 发 明了 各 种 机 械 密码 
机 ， 以 保证 军事 通信 的 安全 。 虽 然 这 些 机 械 密 码 机 在 今天 看 来 其 安全 性 非常 有 限 ， 但 它 
们 在 第 二 次 世界 大 战 中 战功 卓著 ， 其 设计 的 精巧 令 人 惊叹 。 第 二 次 世界 大 战 期 间 使 用 的 


各 种 机 械 密 码 机 如 图 1-1 所 示 。 
= 


图 1-1 第 二 次 世界 大 战 期 间 使 用 的 各 种 机 械 密码 机 


自 1946 年 2 月 14 日 世界 上 第 一 台 计 算 机 ENIAC 在 美国 宾夕法尼亚 大 学 诞生 以 来 ， 
人 们 对 信息 安全 的 需求 经 历 了 两 次 重大 的 变革 。 计 算 机 的 发 明 给 信息 安全 带 来 了 第 一 次 
变革 。 计 算 机 用 户 的 许多 重要 文件 和 信息 均 存 储 于 计算 机 中 ， 因 此 对 这 些 文件 和 信息 的 
安全 保护 成 为 一 个 重要 的 研究 课题 。 人 们 人 迫切 需要 自动 的 加 密 工 具 对 这 些 重要 文件 和 机 
密 数据 进行 加 密 ， 同 时 需要 对 这 些 文件 设置 访问 控制 权限 ， 还 需要 保证 数据 免 遭 非法 自 
改 。 这 一 切 均 属 于 计算 机 安全 的 研究 范畴 。 

计算 机 网 络 及 分 布 式 系统 的 出 现 给 信息 安全 带 来 了 第 二 次 变革 。 人 们 通过 各 种 通信 
网 络 进行 数据 的 传输 、 交 换 、 存 储 、 共 享 和 分 布 式 计算 。 网 络 的 出 现 给 人 们 的 工作 和 生 
活 带 来 了 极 大 的 便利 ， 但 同时 也 带 来 了 极 大 的 安全 风险 。 在 信息 传输 和 交换 时 ， 需 要 对 
通信 信道 上 传输 的 机 密 数 据 进行 加 密 ; 在 数据 存储 和 共享 时 ， 需 要 对 数据 库 进行 安全 的 
访问 控制 和 对 访问 者 授权 ;在 进行 多 方 计算 时 ， 需 要 保证 各 方 机 密 信息 不 被 泄漏 。 这 些 
均 属于 网 络 安全 的 范畴 。 

实际 上 ， 上 述 两 种 形式 的 安全 并 没有 明确 的 界限 。 目 前 ， 几 乎 所 有 的 计算 机 均 与 
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Internet 相连 , 计算 机 主机 的 安全 会 直接 影响 网 络 安 全 ， 网 络 安全 也 会 直接 导致 计算 机 主 
机 的 安全 问题 。 例 如 ， 对 信息 系统 最 常见 的 攻击 就 是 计算 机 病毒 ， 它 可 能 最 先 感染 计算 
机 的 磁盘 和 其 他 存储 介质 ， 然 后 加 载 到 计算 机 系统 上 ， 并 通过 Intemet 传播 。 

本 书 主要 讨论 网 络 安全 ， 涉 及 内 容 非常 广泛 ， 既 包括 计算 机 网 络 安全 的 问题 ， 又 包 
括 通信 网 安全 的 问题 。 为 了 便于 读者 对 本 书 所 讨论 的 内 容 有 比较 感性 的 认识 ， 下 面 先 举 
几 个 与 网 络 安全 有 关 的 例子 。 

a) 用 户 Alice 向 用 户 Bob 传送 一 个 包含 敏感 信息 〈 如 工资 单 ) 的 文件 。 出 于 安全 
考虑 ，Alice 将 该 文件 加 密 。 亚 意 的 窃听 者 Eve 可 以 利用 数据 嗅 探 软件 在 网 络 上 截获 该 加 
密 文 件 ， 并 千方百计 地 对 其 解密 以 求 获得 该 敏感 信息 。 

(2) 网 络 管理 员 Alice 向 计算 机 Bob 发 送 一 条 消息 ， 命 令 计 算 机 Bob 更 新 权限 控制 
文件 以 允许 新 用 户 可 以 访问 计算 机 。 攻 击 者 Eve 截获 并 修改 该 消息 ， 并 冒充 管理 员 向 计 
算 机 Bob 发 出 修改 访问 权限 的 命令 , 而 Bob 误 以 为 是 管理 员 发 来 的 消息 并 按照 Eve 的 命 
令 更 新 权限 文件 。 

(3) 在 网 上 进行 电子 交易 时 ， 客 户 Alice 会 将 订单 发 给 商家 Bob. Bob 接 到 订单 后 ， 
会 与 客户 的 开户 行 联系 ， 以 确认 客户 的 账户 存在 并 有 足够 的 支付 能 力 。 此 后 ， 商 家 将 确 
认 信 息 发 给 客户 ， 并 自动 将 货款 划拨 到 商家 的 账户 上 。 如 果 Bob 是 不 法 商家 ， 他 在 收 到 
货款 后 ， 会 拒绝 给 客户 发 货 ， 或 者 抵赖 ， 否 认 客 户 曾 经 下 过 订单 。 

(4) 用 户 Alice 购买 了 一 部 移动 电话 ， 在 使 用 网 络 服务 之 前 ， 她 必须 通过 注册 获得 
一 个 SIM 卡 或 UIM 卡 。 当 她 打开 手机 时 ， 网 络 会 对 Alice 的 身份 进行 认证 。 如 果 Alice 
是 一 个 不 法 用 户 ， 她 可 以 使 用 盗 取 的 SIM/UIM 卡 免费 使 用 网 络 提供 的 服务 ; 当然 ， 如 果 
基站 是 假冒 的 ， 它 也 会 获取 Alice 的 一 些 秘密 个 人 信息 。 

虽然 以 上 例子 无 法 涵盖 网 络 中 存在 的 所 有 安全 风险 ， 但 是 这 些 例子 使 我 们 对 网 络 安 
全 的 重要 性 有 了 初步 的 了 解 。 

一 般 来 说 ， 信 息 安全 有 以 下 3 个 基本 目标 : 

(1) 保密 性 〈confidentiality)。 即 确保 信息 不 被 泄漏 或 呈现 给 非 授权 的 人 。 

(2) 完整 性 (integrity)。 即 确保 数据 的 一 致 性 ， 特 别 要 防止 非 授权 地 生成 、 修 改 或 
毁坏 数据 。 

(3) 可 用 性 (availability)。 即 确保 合法 用 户 不 会 无 缘 无 故地 被 拒绝 访问 信息 或 资源 。 

在 今天 的 网 络 环境 下 ， 还 有 一 个 基本 的 目标 是 不 能 被 忽视 的 ， 它 就 是 合法 使 用 。 

(4) 合法 使 用 (Legitimate Use)。 确 保 资 源 不 被 非 授权 的 人 或 以 非 授权 的 方式 使 用 。 

为 了 支持 这 些 基本 的 安全 目标 ， 网 络 管理 员 需 要 有 一 个 非常 明确 的 安全 策略 ， 并 且 
需要 实施 一 系列 的 安全 措施 来 确保 安全 策略 所 描述 的 安全 目标 能 够 得 以 实现 。 本 书 描述 
的 两 大 类 分 别 属 于 通信 安全 和 计算 机 安全 的 范畴 。 通 信安 全 是 对 通信 过 程 中 所 传输 的 信 
息 施加 保护 ， 计 算 机 安全 则 是 对 计算 机 系统 中 的 信息 施加 保护 ， 它 包含 操作 系统 安全 和 
数据 库 安全 两 个 子 类 。 此 外 , 还 有 一 类 属于 网 络 安全 的 范畴 ， 它 包括 网 络 边界 安全 、Web 
安全 及 电子 邮件 安全 等 内 容 。 通 信安 全 、 计 算 机 安全 和 网 络 安全 措施 需要 与 其 他 类 型 的 
安全 措施 ， 诸 如 物理 安全 和 人 员 安 全 措施 配合 使 用 ， 才 能 更 有 效 地 发 挥 作用 。 本 章 主要 
介绍 如 下 一 些 基 本 的 概念 : 
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网 络 安全 需求 。 
安全 威胁 与 防护 措施 。 
网 络 安全 策略 。 
安全 攻击 的 分 类 。 
网 络 攻击 的 常见 形式 。 
网 络 安全 服务 。 
网 络 安全 机 制 。 
。 网 络 安全 的 一 般 模型 。 
在 后 面 的 章节 中 ， 将 详细 讨论 网 络 安全 实践 中 常用 的 理论 和 技术 ， 并 结合 一 些 具体 
的 网 络 应 用 ， 介 绍 一 些 网 络 安全 产品 和 网 络 安全 解决 方案 。 


14 “对 网 络 安全 的 需求 


在 人 们 的 日 常生 活 及 赖 以 生存 的 这 个 世界 中 ， 信 息 、 信 息 资 产 及 信息 产品 已 经 变 得 
至 关 重要 。 加 强 网 络 安全 的 必要 性 可 以 从 具体 发 生 的 安全 事件 中 得 到 证 明 。 公 开 报道 的 
安全 事件 实际 上 只 占 很 小 的 比例 ， 事 实 上 ， 人 们 不 愿 对 所 发 生 的 安全 事件 进行 宣扬 ， 其 
原因 有 很 多 。 在 政府 部 站 中， 泄漏 有 关 安 全 漏洞 及 系统 脆弱 性 信息 是 受到 严格 控制 的 ， 
与 安全 有 关 的 信息 也 是 严格 保密 的 ， 因 为 一 旦 公布 了 这 些 信息 ， 敌 手 就 会 利用 这 些 信息 
来 攻击 其 他 类 似 的 系统 ， 从 而 给 这 些 系统 带 来 潜在 的 威胁 。 在 商业 市 场 中 ， 人 们 不 愿 公 
开 与 安全 有 关 的 信息 也 是 出 于 自身 利益 的 考虑 。 例 如 ， 银 行 及 其 他 金融 机 构 都 不 愿 公开 
承认 他 们 的 系统 存在 安全 问题 ， 因 为 公开 其 安全 问题 会 使 用 户 对 银行 在 保护 其 财产 方面 
的 能 力 产生 怀疑 ， 从 而 将 他 们 的 资金 或 资产 转移 到 其 他 金融 机 构 或 银行 。 造 成 这 种 对 安 
全 信息 进行 封锁 的 状况 还 受到 来 自 法 律 和 潜在 损失 等 因素 的 影响 。 例 如 ， 若 某 个 公司 保 
存 有 许多 用 户 的 信息 ， 公 司 要 对 这 些 信息 的 任何 非 授权 泄漏 承担 法 律 责任 。 因 此 ， 一 旦 
计算 机 系统 受到 入 侵 造成 所 保护 信息 泄漏 ， 该 公司 不 会 公开 承认 信息 的 丢失 。 虽 然 政府 
部 门 和 商业 部 门 对 本 部 门 发 生 的 安全 事件 的 报道 有 着 极其 严格 的 限制 ， 但 是 由 于 网 络 的 
广泛 使 用 ， 要 对 发 生 安全 事件 的 信息 进行 全 面 的 保护 与 限制 是 不 可 能 的 。 


1.1.1 网 络 安全 发 展 态势 


在 今天 的 计算 机 技术 产业 中 ， 网 络 安全 是 急需 解决 的 最 重要 的 问题 之 一 。 由 美国 律 
Wik (American Bar Association) 所 做 的 一 项 与 安全 有 关 的 调查 发 现 ， 有 40% 的 被 
调查 者 承认 在 他 们 的 机 构 内 曾经 发 生 过 计算 机 犯罪 事件 。 在 过 去 的 几 年 里 ，Internet 继续 
快速 发 展 ,Internet 用 户 数量 急剧 攀升 。 随 着 网 络 基础 设施 的 建设 和 Internet 用 户 的 激增 ， 
网 络 与 信息 安全 问题 越 来 越 严 重 ， 因 黑客 事件 而 造成 的 损失 也 越 来 越 巨大 。 

第 一 ， 计 算 机 病毒 层出不穷 ， 肆 虐 全球 ， 并 且 逐 渐 呈 现 新 的 传播 态势 和 特点 。 其 主 
要 表现 是 传播 速度 快 ， 与 黑客 技术 结合 在 一 起 而 形成 的 “ 混 种 病毒 ”和 “变异 病毒 ” 越 
来 越 多。 病毒 能 够 自我 复制 ， 主 动 攻击 与 主动 感染 能 力 增强 。 当 前 ， 全 球 计 算 机 病毒 已 
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达 8 万 多 种 ， 每 天 要 产生 5 一 10 种 新 病毒 。 

第 二 ， 黑 客 对 全 球 网 络 的 恶意 攻击 势头 逐年 攀升 。 近 年 来 ， 网 络 攻击 还 呈现 出 黑客 
技术 与 病毒 传播 相 结合 的 趋势 。2001 年 以 来 ， 计 算 机 病毒 的 大 规模 传播 与 破坏 都 同 黑客 
技术 的 发 展 有 关 ， 二 者 的 结合 使 病毒 的 传染 力 与 破坏 性 倍增 。 这 意味 着 网 络 安全 遇 到 了 
新 的 挑战 ， 即 集 病毒 、 木 马 、 蠕 虫 和 网 络 攻击 为 一 体 的 威胁 ， 可 能 造成 快速 、 大 规模 的 
MR, EMESIS BRR, AREA, MARAE. CER i fa 
及 的 情况 下 , 尤其 是 在 计算 机 网 络 与 无 线 通信 融合 、 国 家 信息 基础 设施 网 络 化 的 情况 下 ， 
黑客 加 病毒 的 攻击 很 可 能 构成 对 网 络 生存 与 运行 的 致命 威胁 。 如 果 黑 客 对 国家 信息 基础 
设施 中 的 任何 一 处 目标 发 起 攻击 ， 都 可 能 导致 巨大 的 经 济 损 失 。 

第 三 ， 由 于 技术 和 设计 上 的 不 完备 ， 导 致 系统 存在 缺陷 或 安全 漏洞 。 这 些 漏洞 或 缺 
陷 主 要 存在 于 计算 机 操作 系统 与 网 络 软件 之 中 。 例 如 ， 微 软 的 Windows XP 操作 系统 中 
含有 数 项 严重 的 安全 漏洞 ， 黑 客 可 以 透 过 此 漏洞 实施 网 络 窃取 、 销 毁 用 户 资料 或 擅自 安 
装 软件 ， 乃 至 控制 用 户 的 整个 计算 机 系统 。 正 是 因为 计算 机 操作 系统 与 网 络 软件 难以 完 
全 克服 这 些 漏洞 和 缺陷 ， 使 得 病毒 和 黑客 有 了 可 乘 之 机 。 由 于 操作 系统 和 应 用 软件 所 采 
用 的 技术 越 来 越 先进 和 复杂 ， 因 此 带 来 的 安全 问题 就 越 来 越 多 。 同 时 ， 由 于 黑客 工具 随 
手 可 得 ， 使 得 网 络 安 全 问题 越 来 越 严 重 。 所 谓 “ 网 络 是 安全 的 ”说 法 只 是 相对 的 ， 根 本 
无 法 达到 “绝对 安全 ”的 状态 。 

第 四 ， 世 界 各 国 军 方 都 在 加 紧 进 行 信息 战 的 研究 。 近 几 年 来 ， 黑 客 技术 已 经 不 再 局 
限于 修改 网 页 、 删 除数 据 等 惯用 的 伎俩 ， 而 是 堂而皇之 地 登 上 了 信息 战 的 舞台 ， 成 为 信 
息 作战 的 一 种 手段 。 信 息 战 的 威力 之 大 ， 在 某 种 程度 上 不 亚 于 核武 器 。 在 海湾 战争 、 科 
索 沃 战争 及 巴 以 战争 中 ， 信 息 战 发 挥 了 巨大 的 威力 。 

今天 ,“ 制 信息 权 ” 已 经 成 为 衡量 一 个 国家 实力 的 重要 标志 之 一 。 信 息 空间 上 的 信息 
大 战 正在 悄悄 而 积极 地 酝酿 ， 小 规模 的 信息 战 一 直 不 断 出 现 、 发 展 和 扩大 。 信 息 战 是 信 
息 化 社会 发 展 的 必然 产物 。 在 信息 战场 上 能 和 否 取得 控制 权 ， 是 赢得 政治 、 外 交 、 军 事 和 
经 济 斗争 胜利 的 先决 条 件 。 信 息 安 全 问题 已 成 为 影响 社会 稳定 和 国家 安危 的 战略 性 问题 。 


11.2 ”敏感 信息 对 安全 的 需求 


与 传统 的 邮政 业务 和 有 纸 办 公 不 同 ， 现 代 的 信息 传递 、 存 储 与 交换 是 通过 电子 和 光 
子 完成 的 。 现 代 通 信 系统 可 以 让 人 类 实现 面对面 的 电视 会 议 或 电话 通信 。 然 而 ， 流 过 信 
息 系 统 的 信息 有 可 能 十 分 敏感 ， 因 为 它们 可 能 涉及 产权 信息 、 政 府 或 企业 的 机 密 信息 ， 
或 者 与 企业 之 间 的 竞争 密切 相关 。 目 前 ， 许 多 机 构 已 经 明确 规定 ， 对 网 络 上 传输 的 所 有 
信息 必须 进行 加 密 保护 。 从 这 个 意义 上 讲 ， 必 须 对 数据 保护 、 安 全 标准 与 策略 的 制定 、 
安全 措施 的 实际 应 用 等 各 方面 工作 进行 全 面 的 规划 和 部 署 。 

根据 多 级 安全 模型 ， 通 常 将 信息 的 密级 由 低 到 高 划分 为 秘密 级 、 机 密级 和 绝密 级 ， 
以 确保 每 一 密级 的 信息 仅 能 让 那些 具有 高 于 或 等 于 该 权限 的 人 使 用 。 所 谓 机 密 信 息 和 绝 
密 信息 ， 是 指 国家 政府 对 军事 、 经 济 、 外 交 等 领域 严 加 控制 的 一 类 信息 。 军 事 机 构 和 国 
家 政府 部 门 应 特别 重视 对 信息 施加 严格 的 保护 ， 特 别 应 对 那些 机 密 和 绝密 信息 施加 严格 
的 保护 措施 。 对 于 那些 被 认为 敏感 但 非 机 密 的 信息 ， 也 需要 通过 法 律 手 段 和 技术 手段 加 
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以 保护 ， 以 防止 信息 泄漏 或 被 恶意 修改 。 事 实 上 ， 一 些 政府 部 门 的 信息 是 非 机 密 的 ， 但 
它们 通常 属于 敏感 信息 。 一 旦 泄漏 这 些 信息 ， 有 可 能 对 社会 的 稳定 造成 危害 。 因 此 ， 不 
能 通过 未 加 保护 的 通信 媒介 传送 此 类 信息 ， 而 应 该 在 发 送 前 或 发 送 过 程 中 对 此 类 信息 进 
行 加 密 保 护 。 当 然 ， 这 些 保 护 措施 的 实施 是 要 付出 代价 的 。 除 此 之 外 ， 在 系统 的 方案 设 
计 、 系 统管 理 和 系统 的 维护 方面 还 需要 花费 额外 的 时 间 和 精力 。 近 年 来 ， 一 些 采 用 极 强 
防护 措施 的 部 门 也 面临 着 越 来 越 严 重 的 安全 威胁 。 今 天 的 信息 系统 不 再 是 一 个 孤立 的 系 
统 ， 通 信和 网 络 已 经 将 无 数 个 独立 的 系统 连接 在 一 起 。 在 这 种 情况 下 ， 网 络 安全 也 呈现 出 
许多 新 的 形式 和 特点 。 


11.3 网络 应 用 对 安全 的 需求 


Internet 从 诞生 到 现在 只 有 短 短 几 十 年 的 时 间 , 但 其 爆炸 式 的 技术 发 展 速度 远 远 超过 
人 类 历史 上 任何 一 次 技术 革命 。 然 而 ， 从 长 远 发 展 趋势 来 看 ， 现 在 的 Intemet 还 处 于 发 
展 的 初级 阶段 ，Intemet 技术 存在 着 巨大 的 发 展 空间 和 潜力 。 

随 着 网 络 技术 的 发 展 ， 网 络 视频 会 议 、 远 程 教育 等 各 种 新 型 网 络 多 媒体 应 用 不 断 出 
现 , 传统 的 网 络 体系 结构 越 来 越 显 示 出 局 限 性 。1996 年 , 美国 政府 制定 了 下 一 代 Internet 
(Next Generation Internet, NGI) 计划 ， 与 目前 使 用 的 Internet 相 比 ， 它 的 传输 速度 将 更 
快 、 规 模 更 大 ， 而 且 更 安全 。 


福安 全 威胁 与 防护 措施 


1.2.1 基本 概念 


所 谓 安全 威胁 ， 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 保密 性 、 完 整 性 、 可 用 
性 或 合法 使 用 所 造成 的 危险 。 攻 击 就 是 某 个 安全 威胁 的 具体 实施 。 

所 谓 防护 措施 ， 是 指 保护 资源 免 受 威胁 的 一 些 物理 的 控制 、 机 制 、 策 略 和 过 程 。 脆 
弱 性 是 指 在 实施 防护 措施 中 或 缺少 防护 措施 时 系统 所 具有 的 弱点 。 

所 谓 风险 ， 是 对 某 个 已 知 的、 可 能 引发 某 种 成 功 攻击 的 脆弱 性 的 代价 的 测度 。 当 某 
个 脆弱 的 资源 的 价值 越 高 且 成 功 攻击 的 概率 越 大 时 ， 风 险 就 越 高 ， 反之 ， 当 某 个 脆弱 资 
源 的 价值 越 低 且 成 功 攻击 的 概率 越 小 时 ， 风 险 就 越 低 。 风 险 分 析 能 够 提供 定量 的 方法 ， 
以 确定 是 否 应 保证 在 防护 措施 方面 的 资金 投入 。 

安全 威胁 有 时 可 以 分 为 故意 〈 如 黑客 渗透 》 和 偶然 《如 信息 被 发 往 错误 的 地 方 ) 两 
Ko 故意 的 威胁 又 可 以 进一步 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 只 对 信息 进行 监听 (如 
拱 线 窃听 )， 而 不 对 其 进行 修改 。 主 动 攻击 却 对 信息 进行 故意 的 修改 〈 如 改动 某 次 金融 会 
话 过 程 中 货币 的 数量 )。 总 之 ， 被 动 攻击 比 主动 攻击 更 容易 以 更 少 的 花费 付 诸 实施 。 

目前 尚 没有 统一 的 方法 来 对 各 种 威胁 加 以 区 别 和 进行 分 类 ， 也 难以 理 清 各 种 威胁 之 
间 的 相互 关系 。 不 同 威胁 的 存在 及 其 严重 性 随 着 环境 的 变化 而 变化 。 然 而 ， 为 了 解释 网 
络 安全 服务 的 作用 , 我 们 将 现代 计算 机 网 络 及 通信 过 程 中 常 遇 到 的 一 些 威胁 汇编 成 图 表 ， 
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如 图 1-2 AR 1-1 所 示 。 下 面 分 3 个 阶段 对 威胁 进行 分 析 : ORAM, @ 主 要 可 实 
现 威 胁 ，@ 潜 在 威胁 及 分 类 。 


1.2.2 ”安全 威胁 的 来 源 


1. 基本 威胁 

下 面 4 种 基本 安全 威胁 直接 反映 本 章 开篇 时 所 划分 的 4 个 安全 目标 : 

CL) 信息 泄漏 : 信息 被 泄漏 或 透露 给 某 个 非 授权 的 人 或 实体 。 这 种 威胁 来 自 诸如 窃 
听 、 搭 线 或 其 他 更 加 错综复杂 的 信息 探测 攻击 。 

(2) 完整 性 破坏 : 数据 的 一 致 性 通过 非 授权 的 增删 、 修 改 或 破坏 而 受到 损坏 。 

G) 拒绝 服务 : 对 信息 或 资源 的 访问 被 无 条 件 地 阻止 。 这 可 能 由 以 下 攻击 所 致 : 攻 
击 者 通过 对 系统 进行 非法 的 、 根 本 无 法 成 功 的 访问 尝试 使 系统 产生 过 量 的 负荷 ， 从 而 导 
致 系统 的 资源 在 合法 用 户 看 来 是 不 可 使 用 的 。 拒 绝 服 务 也 可 能 是 因为 系统 在 物理 上 或 逻 
辑 上 受到 破坏 而 中 断 服务 。 

(4) 非法 使 用 : 某 一 资源 被 某 个 非 授权 的 人 或 以 某 种 非 授权 的 方式 使 用 。 例 如 ， 侵 
入 某 个 计算 机 系统 的 攻击 者 会 利用 此 系统 作为 盗用 电信 服务 的 基点 ， 或 者 作为 侵入 其 他 
系统 的 “桥头 堡 ”。 


2. 主要 的 可 实现 威胁 

在 安全 威胁 中 , 主要 的 可 实现 威胁 应 该 引起 高 度 关注 , 因为 这 类 威胁 一 旦 成 功 实施 ， 
就 会 直接 导致 其 他 任何 威胁 的 实施 。 主 要 的 可 实现 威胁 包括 渗入 威胁 和 植 入 威胁 。 

主要 的 渗入 威胁 有 如 下 几 种 : 

(1) 假冒 。 某 个 实体 〈 人 或 系统 ) 假装 成 另外 一 个 不 同 的 实体 。 这 是 突破 某 一 安全 
防线 最 常用 的 方法 。 这 个 非 授权 的 实体 提示 某 个 防线 的 守卫 者 ， 使 其 相信 它 是 一 个 合法 
实体 ， 此 后 便 搜 取 了 此 合法 用 户 的 权利 和 特权 。 黑 客 大 多 采取 这 种 假冒 攻击 方式 来 实施 
攻击 。 

(2) 旁 路 控制 。 为 了 获得 非 授权 的 权利 和 特权 ， 某 个 攻击 者 会 发 掘 系统 的 缺陷 和 安 
全 漏洞 。 例 如 ， 攻 击 者 通过 各 种 手段 发 现 原本 应 保密 但 又 暴露 出 来 的 一 些 系统 “特征 ”。 
攻击 者 可 以 绕 过 防线 守卫 者 侵入 系统 内 部 。 

(3) 授权 侵犯 。 一 个 授权 以 特定 目的 使 用 某 个 系统 或 资源 的 人 ， 却 将 其 权限 用 于 其 
他 非 授权 的 目的 。 这 种 攻击 的 发 起 者 往往 属于 系统 内 的 某 个 合法 的 用 户 ， 因 此 这 种 攻击 
又 称 为 “内 部 攻击 ”。 

主要 的 植 入 类 型 的 威胁 有 如 下 几 种 : 

Q) 特洛伊 木马 《Trojan Horse)。 软 件 中 含有 一 个 不 易 觉察 的 或 无 害 的 程序 段 ， 当 
被 执行 时 ， 它 会 破坏 用 户 的 安全 性 。 例 如 ， 一 个 表面 上 具有 合法 目的 的 应 用 程序 软件 ， 
如 文本 编辑 软件 ， 它 还 具有 一 个 暗藏 的 目的 ， 就 是 将 用 户 的 文件 复制 到 一 个 隐藏 的 秘密 
文件 中 ， 这 种 应 用 程序 就 称 为 特洛伊 木马 。 此 后 ， 植 入 特洛伊 木马 的 那个 攻击 者 就 可 以 
阅读 到 该 用 户 的 文件 。 

(2) 陷 门 〈Trapdoor)。 在 某 个 系统 或 其 部 件 中 设置 “机 关 ”， 使 在 提供 特定 的 输入 
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数据 时 ， 人 允许 违反 安全 策略 。 例 如 ， 如 果 在 一 个 用 户 登录 子 系统 上 设 有 陷 门 ， 当 攻击 者 
输入 一 个 特别 的 用 户 身份 号 时 ， 就 可 以 绕 过 通常 的 口令 检测 。 


3. 潜在 威胁 

在 某 个 特定 的 环境 中 ， 如 果 对 任何 一 种 基本 威胁 或 主要 的 可 实现 的 威胁 进行 分 析 ， 
就 能 够 发 现 某 些 特定 的 潜在 威胁 ， 而 任意 一 种 潜在 的 威胁 都 可 能 导致 一 些 更 基本 的 威胁 
RE. 例如， 在 对 信息 泄漏 这 种 基本 威胁 进行 分 析 时 ， 有 可 能 找 出 以 下 几 种 潜在 的 威胁 : 

(1) jf (Eavesdropping). 

(2) 流量 分 析 (Traffic Analysis). 

G) 操作 人 员 的 不 慎 所 导致 的 信息 泄漏 。 

(4) 媒体 废弃 物 所 导致 的 信息 泄漏 。 

1-2 列 出 了 一 些 典型 的 威胁 及 它们 之 间 的 相互 关系 。 注意 ， 图 中 的 路 径 可 以 交错 。 
例如 ， 假 冒 攻 击 可 以 成 为 所 有 基本 威胁 的 基础 ， 同 时 假冒 攻击 本 身 也 存在 信息 泄漏 的 潜 
在 威胁 。 信 息 泄漏 可 能 暴露 某 个 口令 ,而 用 此 口令 攻击 者 也 可 以 实施 假冒 攻击 。 表 1-1 
列 出 了 各 种 威胁 之 间 的 差异 ， 并 分 别 进行 了 描述 。 


[信息 汇 沁 完整 性 侵害 拒绝 业务 非法 使 用 | 


| BA ! 1 HA | 

BE 特洛伊 木马 
窃听 旁 路 控制 Kar 
流量 分 析 授权 侵犯 服务 其 骗 oi 

ew 物理 侵入 
截获 


ETA 
媒体 清理 信息 泄漏 
完整 性 侵犯 
| 截获 /修改 窃取 | ARER 

业务 否认 消息 重 发 完整 性 侵犯 


1-2 典型 的 威胁 及 其 相互 关系 


对 3000 种 以 上 的 计算 机 误 用 案例 所 做 的 一 次 抽样 调查 显示 , 最 主要 的 几 种 安全 威胁 
如 下 《按照 出 现 频率 由 高 至 低 排 列 ): 

(1) 授权 侵犯 。 

(2) 假冒 攻击 。 

(3) 旁 路 控制 。 

(4) 特洛伊 木马 或 陷 门 。 

(5) 媒体 废弃 物 。 

在 Internet 中 ， 网 络 蠕虫 (Intemet Worm) 就 是 将 旁 路 控制 与 假冒 攻击 结合 起 来 的 一 
种 威胁 。 旁 路 控制 就 是 利用 已 知 的 UNIX, Windows 和 Linux 等 操作 系统 的 安全 缺陷 ， 
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避 开 系统 的 访问 控制 措施 ， 进 入 到 系统 内 部 。 而 假冒 攻击 则 通过 破译 或 窃取 用 户口 令 ， 
冒充 合法 用 户 使 用 网 络 服务 和 资源 。 


表 1-1 典型 的 网 络 安全 威胁 


威 胁 描述 
授权 侵犯 一 个 被 授权 以 特定 目的 使 用 系统 的 人 ， 却 将 此 系统 用 于 其 他 非 授权 的 目的 
旁 路 控制 攻击 者 发 气 系 统 的 安全 缺陷 或 安全 脆弱 性 ， 以 绕 过 访问 控制 措施 
拒绝 服务 * 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 拒绝 
窃听 攻击 信息 从 被 监视 的 通信 过 程 中 泄漏 出 去 
电磁 /射频 截获 信息 从 电子 或 机 电 设备 所 发 出 的 无 线 频率 或 其 他 电磁 场 辐射 中 被 提取 出 来 
非法 使 用 资源 被 某 个 非 授权 的 人 或 以 非 授权 的 方式 使 用 
ARRE 一 个 被 授权 的 人 为 了 金钱 等 利益 或 由 于 粗心 ， 将 信息 泄漏 给 非 授权 的 人 
信息 泄漏 信息 被 泄漏 或 暴露 给 某 个 非 授权 的 人 
完整 性 侵犯 * 数据 的 一 致 性 由 于 非 授权 的 增删 、 修 改 或 破坏 而 受到 损害 
截获 /修改 * 某 一 通信 数据 在 传输 过 程 中 被 改变 、 删 除 或 蔡 换 
假冒 攻击 * 一 个 实体 (人 或 系统 ) 假装 成 另 一 个 不 同 的 实体 
媒体 废弃 物 信息 从 被 废弃 的 磁带 或 打印 的 废 纸 中 泄漏 出 去 
物理 入 侵 入 侵 者 通过 绕 过 物理 控制 〈 如 防盗 门 ) 而 获得 对 系统 的 访问 
消息 重 发 * 对 所 截获 的 某 次 合法 通信 数据 备份 ， 出 于 非法 的 目的 而 重新 发 送 该 数据 
业务 否认 * 参与 某 次 通信 交换 的 一 方 ， 事 后 错误 地 否认 曾经 发 生 过 此 次 信息 交换 
资源 耗 尽 某 一 资源 (如 访问 接口 ) 被 故意 地 超 负荷 使 用 ， 导 致 其 他 用 户 服务 中 断 
服务 欺骗 某 一 伪造 的 系统 或 部 件 欺骗 合法 的 用 户 或 系统 ， 自 愿 放弃 敏感 的 信息 
窃取 某 一 安全 依 关 的 物品 被 盗 ， 例 如 令 牌 或 身份 卡 
流量 分 析 * 通过 对 通信 流量 的 模式 进行 观察 ， 机 密 信 息 有 可 能 泄漏 给 非 授 权 的 实体 
陷 门 人 
特洛伊 木马 一 个 不 易 察 觉 或 无 害 程序 段 的 软件 ， 当 其 被 运行 时 ， 就 会 破坏 用 户 的 安全 性 


说 明 : 带 * 的 威胁 表示 在 计算 机 通信 安全 中 可 能 发 生 的 威胁 。 


1.2.3 ”安全 防护 措施 


在 安全 领域 中 ， 存 在 多 种 类 型 的 防护 措施 。 除 了 采用 密码 技术 的 防护 措施 外 ， 还 有 


其 他 类 型 的 安全 防护 措施 : 


CL) 物理 安全 。 包 括 门 锁 或 其 他 物理 访问 控制 措施 、 敏 感 设备 的 防 算 改 和 环境 控 


制 等 。 


O) 人 员 安全 。 包 括 对 工作 岗位 敏感 性 的 划分 、 雇 员 的 筛选 ， 同 时 也 包括 对 人 员 的 


安全 性 培训 ， 以 增强 其 安全 意识 。 


G) 管理 安全 。 包 括 对 进口 软件 和 硬件 设备 的 控制 ， 负 责 调查 安全 泄漏 事件 ， 对 犯 


罪 分 子 进行 审计 跟踪 ， 并 追查 安全 责任 。 
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(4) 媒体 安全 。 包 括 对 受 保护 的 信息 进行 存储 ， 控 制 敏 感 信息 的 记录 、 再 生 和 销毁 ， 
确保 废弃 的 纸张 或 含有 敏感 信息 的 磁性 介质 被 安全 销毁 。 同 时 ， 对 所 用 媒体 进行 扫描 ， 
以 便 发 现 病毒 。 

(5) 辐射 安全 。 对 射频 CRF) 及 其 他 电磁 (EM) 辐射 进行 控制 (又 称 TEMPEST 
保护 )。 

(6) 生命 周期 控制 。 包 括 对 可 信 系 统 进行 系统 设计 、 工 程 实施 、 安 全 评估 及 提供 担 
保 ， 并 对 程序 的 设计 标准 和 日 志 记录 进行 控制 。 

一 个 安全 系统 的 强度 与 其 最 弱 链 路 的 强度 相同 。 为 了 提供 有 效 的 安全 性 ， 需 要 将 不 
同 种 类 的 威胁 对 抗 措施 联合 起 来 使 用 。 例 如 ， 当 用 户 将 口令 遗忘 在 某 个 不 安全 的 地 方 或 
受到 欺骗 而 将 口令 暴露 给 某 个 未 知 的 电话 用 户 时 ， 即 使 技术 上 是 完备 的 ， 用 于 对 付 假冒 
攻击 的 口令 系统 也 将 无 效 。 

防护 措施 可 用 来 对 付 大 多 数 安全 威胁 ， 但 是 采用 每 种 防护 措施 均 要 付出 代价 。 网 络 
用 户 需要 认真 考虑 这 样 一 个 问题 : 为 了 防止 某 个 攻击 所 付出 的 代价 是 否 值得 。 例 如 ， 在 
商业 网 络 中 ， 一 般 不 考虑 对 付 电 磁 CEM) 或 射频 CRE) 泄漏 ， 因 为 它们 对 商用 环境 来 
说 风险 很 小 ， 而 且 其 防护 措施 又 十 分 昂贵 。 但 在 机 密 环境 中 ， 我 们 会 得 出 不 同 的 结论 。 
对 于 某 一 特定 的 网 络 环境 ,究竟 采用 什么 安全 防护 措施 , 这 种 决策 属于 风险 管理 的 范畴 。 
目前 ， 人们 已 经 开发 出 各 种 定性 和 定量 的 风险 管理 工具 。 如 果 要 进一步 了 解 有 关 的 信息 ， 
请 参看 有 关 文 献 。 

在 本 书 中 ， 主 要 讨论 与 通信 网 络 有 关 的 安全 问题 。 网 络 安全 事实 上 可 以 更 广泛 地 定 
义 为 “通信 安全 ” 加 密 仅仅 是 通信 安全 的 一 个 方面 。 其 实 网 络 安全 涉及 了 非常 宽广 的 技 
术 领 域 ， 而 这 些 技术 的 广泛 应 用 直到 今天 才 成 为 可 能 。 考 虑 到 在 现实 中 存在 着 各 种 强 有 
力 的 密码 分 析 方 法 ， 人 们 不 得 不 考虑 采用 复杂 防护 措施 需要 付出 的 各 种 代价 。 


13 网络 安全 策略 


所 谓 安全 策略 ， 是 指 在 某 个 安全 域内 ， 施 加 给 所 有 与 安全 相关 活动 的 一 套 规则 。 所 
谓 安全 域 ， 通 常 是 指 属 于 某 个 组 织 机 构 的 一 系列 处 理 进程 和 通信 资源 。 这 些 规 则 由 该 安 
全 域 中 所 设立 的 安全 权威 机 构 制定 ， 并 由 安全 控制 机 构 来 描述 、 实 施 或 实现 。 

安全 策略 是 一 个 很 宽泛 的 概念 ， 这 一 术语 以 许多 不 同 的 方式 用 于 各 种 文献 和 标准 。 
一 些 有 关 的 分 析 表 明 ， 安 全 策略 有 几 个 不 同 的 等 级 。 

(1) 安全 策略 目标 : 是 一 个 机 构 对 于 所 保护 的 资源 要 达到 的 安全 目标 而 进行 的 描述 。 

(2) 机 构 安全 策略 : 是 一 套 法 律 、 规 则 及 实际 操作 方法 ， 用 于 规范 一 个 机 构 如 何 管 
理 、 保 护 和 分 配 资源 ， 以 便 达 到 安全 策略 所 规定 的 安全 目标 。 

G) 系统 安全 策略 : 描述 如 何 将 一 个 特定 的 信息 系统 付 诸 工程 实现 ， 以 支持 此 机 构 
的 安全 策略 要 求 。 

在 本 书 中 ， 术 语 “ 安 全 策略 ”通常 是 指 系统 级 的 安全 策略 。 但 是 ， 读 者 必须 牢记 ， 
它 仅仅 是 广义 安全 策略 概念 的 一 个 组 成 部 分 。 
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下 面 对 影 响 网 络 系统 及 各 组 成 部 分 所 涉及 的 安全 策略 的 某 些 主要 方面 进行 讨论 。 


1.3.1 授权 


授权 (Authorization) 是 安全 策略 的 一 个 基本 组 成 部 分 。 所 谓 授权 , 是 指 主体 (用户 、 
终端 、 程 序 等 ) 对 客体 〈 数 据 、 程 序 等 ) 的 支配 权利 ， 它 等 于 规定 了 谁 可 以 对 什么 做 些 
tt (Who may do what to what)。 在 机 构 安全 策略 等 级 上 ， 一 些 描述 授权 的 例子 如 下 ; 

(1) 文件 Project-X-Status 只 能 由 GSmith 修改 ， 并 由 GSmith, PJones 及 Project-X 
计划 小 组 中 的 成 员 阅 读 。 

(2) 一 个 人 事 记 录 只 能 由 人 事 部 门 的 职员 进行 添加 和 修改 ， 并 且 只 能 由 人 事 部 门 的 
职员 、 部 门 经 理 及 该 记录 所 属 的 那个 人 阅读 。 

(3) 假设 在 多 级 安全 系统 中 ， 有 一 密级 被 定义 为 “Confidential-secret-top”。 只 有 所 
持 许可 证 级 别 等 于 或 高 于 此 密级 的 人 员 才 有 权 访 问 此 密级 的 信息 。 

这 些 安全 策略 的 描述 也 对 各 类 防护 措施 提出 了 要 求 。 例 如 ， 采 用 人 员 安 全 措施 来 决 
定 人 员 的 许可 证 级 别 。 在 计算 机 和 通信 系统 中 ， 主 要 安全 需求 可 以 由 一 种 称 为 “访问 控 
制 策略 ”的 系统 安全 策略 反映 出 来 。 


1.3.2 ”访问 控制 策略 


访问 控制 策略 隶属 于 系统 级 安全 策略 ， 它 迫使 计算 机 系统 和 网 络 自动 地 执行 授权 。 
以 上 有 关 授 权 描 述 的 示例 (1). (2) 和 G) 分 别 对 应 于 以 下 不 同 的 访问 控制 策略 ， 

(1) 基于 身份 的 策略 。 该 策略 允许 或 拒绝 对 明确 区 分 的 个 体 或 群体 进行 访问 。 

(2) 基于 任务 的 策略 。 它 是 基于 身份 的 策略 的 一 种 变形 ， 它 给 每 一 个 个 体 分 配 任务 ， 
并 基于 这 些 任务 来 使 用 授权 规则 。 

(3) 多 等 级 策略 。 它 是 基于 信息 敏感 性 的 等 级 及 工作 人 员 许 可 等 级 而 制定 的 一 般 规 
则 的 策略 。 

访问 控制 策略 有 时 也 被 划分 为 强制 性 访问 控制 策略 〈Mandatory Access Control 
Policies) 和 自主 性 访问 控制 策略 (Discretionary Access Control Policies) 两 类 。 强 制 性 
访问 控制 策略 由 安全 域 中 的 权威 机 构 强 制 实施 ， 任 何人 都 不 能 回避 。 强 制 性 安全 策略 
在 军事 和 其 他 政府 机 密 环境 中 最 为 常用 ， 上 面 提 到 的 策略 (3) 就 是 一 个 例子 。 自 主 性 
访问 控制 策略 为 一 些 特定 的 用 户 提供 了 访问 资源 〈 如 信息 ) 的 权限 ， 此 后 可 以 利用 此 
权限 控制 这 些 用 户 对 资源 的 进一步 访问 。 上 述 策略 G) 和 策略 2) 就 是 两 个 自主 性 
访问 控制 策略 的 例子 。 在 机 密 环境 中 ， 自 主 性 访问 控制 策略 用 于 强化 “须知 ”(Need to 
know) 的 最 小 权益 策略 (Least Privilege Policy ) 或 最 小 泄漏 策略 (Least Exposure Policy). 
前 者 只 授予 主体 为 执行 任务 所 必需 的 信息 或 处 理 能 力 ， 而 后 者 则 按照 规则 向 主体 提 
供 机 密 信 息 ， 并 且 主 体 承担 保护 信息 的 责任 。 访 问 控制 策略 将 在 后 面 的 章节 中 详细 
讨论 。 
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13:3 
所 有 安全 策略 都 有 一 个 潜在 的 基本 原则 ， 那 就 是 “责任 ”。 在 执行 任务 时 ， 受 到 安全 
策略 约束 的 任何 个 体 需 要 对 其 行为 负责 。 它 与 人 员 安 全 之 间 建 立 了 非常 重要 的 联系 。 某 


责任 
些 网 络 安全 防护 措施 ， 如 对 工作 人 员 身 份 及 采用 这 些 身份 从 事 相 关 的 活动 进行 认证 ， 都 


直接 支持 这 一 原则 。 

174 ”安全 攻击 的 分 类 

X.800 和 RFC 2828 对 安全 攻击 进行 了 分 类 。 它 们 把 攻击 分 成 两 类 : 被 动 攻 击 和 主动 

攻击 。 被 动 攻击 试图 获得 或 利用 系统 的 信息 ， 但 不 会 对 系统 的 资源 造成 破坏 。 而 主动 攻 
击 则 不 同 ， 它 试图 破坏 系统 的 资源 ， 影 响 系 统 的 正常 工作 。 

了 于 窍 听 和 监测 。 攻 击 者 的 目标 是 获得 线路 上 所 


传输 的 信息 。 信 息 泄漏 和 流量 分 析 就 是 两 种 被 动 攻 击 的 例子 。 


1.4.1 ”被 动 攻击 
被 动 攻击 的 特性 是 对 所 传输 的 信息 进 
第 一 种 被 动 攻击 是 窃听 攻击 ， 如 图 1-3 (a) 所 示 。 电 话 、 电 子 邮 件 和 传输 的 文件 中 
都 可 能 含有 敏感 或 秘密 信息 。 攻 击 者 通过 窃听 ， 可 以 截获 这 些 敏感 或 秘密 信息 。 我 们 要 


Darth 


Internet 或 其 他 通信 设施 > 一 
(a) 窃听 攻击 


Darth 
观察 APob 到 Alicetg 消 息 模式 
,> 
Alice 
(b) 流量 分 析 
图 1-3 被 动 攻击 


Bob 


Alice 


/ 阅读 从 Bob 到 Alice 的 消息 内 容 
Ge 


做 的 工作 就 是 阻止 攻击 者 获得 这 些 信 息 
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第 二 种 被 动 攻击 是 流量 分 析 ， 如 图 1-3 (b) 所 示 。 假 设 已 经 采取 了 某 种 措施 来 隐藏 
消息 内 容 或 其 他 信息 的 流量 ， 使 攻击 者 即使 捕获 了 消息 也 不 能 从 中 发 现 有 价值 的 信息 。 
加 密 是 隐藏 消息 的 常用 方法 。 即 使 对 信息 进行 了 合理 的 加 密 保 护 ， 攻 击 者 仍然 可 以 通过 
流量 分 析 获 得 这 些 消息 的 模式 。 攻 击 者 可 以 确定 通信 主机 的 身份 及 其 所 处 的 位 置 ， 可 以 
观察 传输 消息 的 频率 和 长 度 ， 然 后 根据 所 获得 的 这 些 信息 推断 本 次 通信 的 性 质 。 

被 动 攻击 由 于 不 涉及 对 数据 的 更 改 ， 所 以 很 难 被 察觉 。 通 过 采用 加 密 措施 ， 完 全 有 


可 能 阻止 这 种 攻击 。 因 此 ， 处 理 被 动 攻 击 的 重点 是 预防 ， 而 不 是 检测 。 


14.2 ”主动 攻击 


主动 攻击 是 指 恶 意 算 改 数据 流 或 伪造 数据 流 等 攻击 行为 ， 它 分 成 4 类 : 


© 伪装 攻击 (Impersonation Attack); 
© 重 放 攻 击 (Replay Attack); 

© WAAK (Message Modification); 
@ 拒绝 服务 (Denial of Service) 攻击。 


伪装 攻击 是 指 某 个 实体 假装 成 其 他 实体 ， 对 目标 发 起 攻击 ， 如 图 1-4 (a) MR. 
装 攻击 的 例子 有 : 攻击 者 捕获 认证 信息 ， 然 后 将 其 重 发 ， 这 样 攻击 者 就 有 可 能 获得 其 他 


实体 所 拥有 的 访问 权限 。 


重 放 攻击 是 指 攻击 者 为 了 达到 某 种 目的 ， 将 获得 的 信息 再 次 发 送 ， 以 在 非 授权 的 情 


况 下 进行 传输 ， 如 图 1-4 b) 所 示 。 


Darth 


来 自 Darth 的 消息 ， 但 


看 上 去 好 像 来 自 Bob 
5. D 
A 
一 会合 
Bob Alice 
(a) 伪装 攻击 
Darth ，| 截获 从 Bob 到 Alice 的 消 


息 ， 以 后 再 重 放 给 Alice 


(b) 重 放 攻击 


图 1-4 主动 攻击 
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Dart Hob 


Alice 的 


ro 


(c) 消息 纂 改 


只 


Darth \ Darth 破 坏 由 服务 器 
提供 的 服务 


Alice 


Ce 
> | | Internet 或 其 他 通信 设施 > 一 
WL J 
Bob > Server 
(4) 拒绝 服务 攻击 
图 1-4 ( 续 ) 


消息 自 改 是 指 攻击 者 对 所 获得 的 合法 消息 中 的 一 部 分 进行 修改 或 延迟 消息 的 传输 ， 
以 达到 其 非 授 权 的 目的 ， 如 图 1-4 Cc) 所 示 。 例 如 ， 攻 击 者 将 消息 “Allow John Smith to 
read confidential accounts ”修改 为 “Allow Fred Brown to read confidential file accounts”. 

拒绝 服务 攻击 则 是 指 阻 止 或 禁止 人 们 正常 使 用 网 络 服务 或 管理 通信 设备 , 如 图 1-4(d) 
所 示 。 这 种 攻击 可 能 目标 非常 明确 。 例 如 ， 某 个 实体 可 能 会 禁止 所 有 发 往 某 个 目的 地 的 
消息 。 拒 绝 服务 的 另 一 种 形式 是 破坏 某 个 网 络 ， 使 其 瘫痪 ， 或 者 使 其 过 载 以 降低 性 能 。 

主动 攻击 与 被 动 攻击 相反 。 被 动 攻击 虽然 难以 检测 ， 但 采取 某 些 安全 防护 措施 就 可 
以 有 效 阻 止 ， 主 动 攻击 虽然 易于 检测 ， 但 却 难以 阻止 。 所 以 对 付 主动 攻击 的 重点 应 当 放 
在 如 何 检测 并 发 现 它们 上 ， 并 采取 相应 的 应 急 响应 措施 ， 使 系统 从 故障 状态 恢复 到 正常 
运行 。 由 于 检测 主动 攻击 对 于 攻击 者 来 说 能 起 到 威慑 作用 ， 所 以 在 某 种 程度 上 可 以 阻止 
主动 攻击 。 


45 网络 攻击 的 常见 形式 


在 前 面 已 经 讨论 了 网 络 中 存在 的 各 种 威胁 ， 这 些 威胁 的 直接 表现 形式 就 是 黑客 常 采 
取 的 各 种 网 络 攻 击 方式 。 下 面 将 对 常见 的 网 络 攻 击 进行 分 类 。 通 过 分 类 ， 可 以 针对 不 同 
的 攻击 类 型 采取 相应 的 安全 防护 措施 。 
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1.5.1 口令 窃取 


进入 一 台 计 算 机 最 容易 的 方法 就 是 采用 口令 登录 。 只 要 在 许可 的 登录 次 数 范围 内 输 
入 正确 的 口令 ， 就 可 以 成 功 地 登录 系统 。 

虽然 利用 系统 缺陷 破坏 网 络 系统 是 可 行 的， 但 这 不 是 最 容易 的 办 法 。 最 容易 的 办 法 是 
通过 窃取 用 户 的 口令 进入 系统 。 事 实 上 ， 很 大 比例 的 系统 入 侵 是 由 口令 系统 失效 造成 的 。 

口令 系统 失效 的 原因 有 多 种 ， 但 最 常见 的 原因 是 人 们 倾向 于 选择 很 糟糕 的 口令 作为 
登录 密码 。 反 复 研究 的 结果 表明 : 口令 猜测 很 容易 成 功 。 我 们 并 不 是 说 所 有 人 都 采用 了 
很 差 的 口令 ， 但 对 于 黑客 来 说 ， 只 要 给 他 一 次 机 会 就 可 以 得 手 。 

口令 猜测 攻击 有 3 种 基本 方式 。 第 一 种 方式 是 利用 已 知 或 假定 的 口令 尝试 登录 。 虽 
然 这 种 登录 尝试 需要 反复 进行 十 几 次 甚至 更 多 ， 但 往往 会 取得 成 功 。 一 旦 攻击 者 成 功 登 
录 ， 网 络 的 主要 防线 就 会 崩溃 。 很 少 有 操作 系统 能 够 抵御 从 内 部 发 起 的 攻击 。 

攻击 者 获得 密码 的 第 二 种 方式 是 根据 窃取 的 口令 文件 进行 猜测 (如 UNIX 系统 中 的 
/etc/passwd 文件 )。 这 些 口令 文件 有 的 是 从 已 经 被 攻破 的 系统 中 窃取 的 ， 有 的 是 从 未 被 攻 
破 的 系统 中 获得 的 。 由 于 用 户 习惯 重复 使 用 同一 口令 ， 当 黑客 得 到 这 些 文件 后 ， 就 会 尝 
试用 其 登录 其 他 机 器 。 这 种 攻击 称 为 “字典 攻击 ” 通常 十 分 奏效 。 

第 三 种 方法 是 窃听 某 次 合法 终端 之 间 的 会 话 , 并 记录 所 使 用 的 口令 。 采用 这 种 方式 ， 
不 管用 户 的 口令 设计 得 有 多 好 ， 其 系统 都 会 遭 到 破坏 。 

通过 以 上 讨论 可 以 得 出 结论 : 在 选择 好 的 口令 方面 ， 加 强 对 用 户 的 培训 是 非常 重要 
的 。 大 多 数 人 习惯 选择 简单 的 口令 。 虽然 人 们 也 试图 选用 难以 猜测 的 密码 , 但 收效 不 大 。 
据 统计 ， 攻 击 者 如 果 掌 握 一 本 小 字典 ， 他 就 有 20% 的 机 会 进入 系统 。 况 且 现 在 可 以 获得 
的 字典 很 多 ， 大 的 可 以 达到 几 十 兆 字 节 。 字 典 里 几乎 包括 所 有 单词 和 短语 ， 还 有 各 种 个 
人 信息 ， 如 电话 号 码 、 地 址 、 生 日 、 作 家 名 字 等 。 

如 果 无 法 阻止 选择 低级 的 口令 ， 那 么 对 口令 文件 进行 严格 保护 就 变 得 非常 关键 。 要 
做 到 这 点 ， 就 必须 进行 以 下 操作 : 

(1) 对 某 些 服务 的 安全 属性 进行 认真 配置 ， 如 SUN 操作 系统 中 的 NIS 服务 。 

(2) 对 可 以 使 用 tftpd 协议 获得 的 文件 加 以 限制 。 

(3) 避免 将 真正 的 /etc/passwd 文件 放 在 匿名 FTP X. 

某 些 UNIX 系统 提供 了 对 合法 用 户 的 口令 进行 杂凑 计算 并 将 该 杂凑 值 进行 隐藏 的 功 
能 。 杂 凑 后 的 口令 文件 称 为 “影子 ”或 “附属 ”口令 文件 。 我 们 强烈 建议 充分 利用 系统 
的 这 一 功能 。 除了 UNIX 系统 之 外 , 还 有 很 多 系统 也 具备 对 口令 进行 杂凑 和 隐藏 的 功能 。 

要 彻底 解决 使 用 口令 的 次 端 ， 就 要 完全 放弃 使 用 口令 机 制 ， 转 而 使 用 基于 令 牌 
(Token-based) 的 机 制 。 如 果 暂 时 还 不 能 做 到 ， 起 码 要 使 用 一 次 性 口令 方案 ， 如 OTP 


(One-Time Password). 


15.2 ”欺骗 攻击 
黑客 的 另外 一 种 攻击 方式 是 采用 欺骗 的 方式 获取 登录 权限 。 泄 密 通 常 发 生 在 打 电话 
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和 聊天 的 过 程 中 。 请 看 Thompson 与 网 络 管理 员 的 一 段 谈话 : 

This is Thompson. Someone called me about a problem with the /s command. He'd like 
me to fix it. 

Oh, OK. What should I do? 


Just change the password on my login on your machine; it's been a while since I've used 


No problem. 

从 上 面 的 谈话 可 以 看 出 , Thompson 欺骗 网 络 管理 员 改变 口令 , 使 他 能 够 成 功 登录 到 
其 计算 机 上 。 还 有 其 他 欺骗 方式 ， 如 利用 邮件 欺骗 。 请 看 攻击 者 发 出 的 这 封 邮件 : 

From: smb@research.att.com 

TO: admin@research.att.com 

Subject: Visitor 

We have a visitor coming next week. Could you ask for your SA to add a Login 

for her? Here's her passwd line; use the same hashed password. 

Pxf: SoHD/kS5k2mtTTs:2403:147:Pat:/home/pat:/bin/sh 

注意 ， 这 封 邮件 明显 带 有 欺骗 行为 。 如 果 Pat 是 一 个 来 访 者 ， 她 不 会 将 家 里 的 机 器 
口令 拿 到 外 面 使 用 。 因 此 ， 在 没有 搞 清 对 方 的 真正 意图 之 前 ， 就 不 能 随意 采取 行动 。 当 
你 收 到 一 个 朋友 的 电子 邮件 ， 警 告 你 “sulfnbk.exe 是 一 个 病毒 文件 ， 必 须 删除 。 请 转告 
你 的 朋友 ”时 ， 这 种 电子 邮件 很 可 能 就 是 一 个 骗局 。 如 果 你 照 此 去 做 ， 你 的 系统 就 会 中 
毒 并 遭 到 破坏 。 不 幸 的 是 ， 很 多 人 都 会 上 当 ， 因 为 这 个 邮件 毕竟 是 自己 的 朋友 发 送 
来 的 。 


1.5.3 ”缺陷 和 后 门 攻击 


网 络 蠕虫 传播 的 方式 之 一 是 通过 向 finger 守护 程序 (Daemon ) 发 送 新 的 代码 实现 的 。 
显然 ， 该 守护 程序 并 不 希望 收 到 这 些 代码 ， 但 在 协议 中 没有 限制 接收 这 些 代码 的 机 制 。 
守护 程序 的 确 可 以 发 出 一 个 gets 呼叫 ， 但 并 没有 指定 最 大 的 缓冲 区 长 度 。 蠕 虫 向 “ 读 ” 
缓冲 区 内 注入 大 量 的 数据 ， 直 到 将 gets 堆栈 中 的 返回 地 址 覆盖 。 当 和 守护 程序 中 的 子 程序 
返回 时 ， 就 会 转 而 执行 入 侵 者 写 入 的 代码 。 

缓冲 器 溢出 攻击 也 称 为 “堆栈 粉碎 ”(Stack Smashing) 攻击 。 这 是 攻击 者 常 采 用 的 
一 种 扰乱 程序 的 攻击 方法 。 长 期 以 来 ， 人 们 试图 通过 改进 设计 来 消除 缓冲 器 溢出 缺陷 。 
有 些 计算 机 语言 在 设计 时 就 尽 可 能 不 让 攻击 者 做 到 这 点 。 一 些 硬 件 系统 也 尽量 不 在 堆栈 
上 执行 代码 。 此 外 ， 一 些 C 编译 器 和 库 函 数 也 使 用 了 许多 对 付 缓冲 器 溢出 攻击 的 方法 。 

所 谓 缺陷 (Flaws)， 就 是 指 程序 中 的 某 些 代 码 并 不 能 满足 特定 的 要 求 。 尽 管 一 些 程 
序 缺 陷 已 经 由 厂家 逐步 解决 ， 但 是 一 些 常 见 问题 依然 存在 。 最 佳 解决 办 法 就 是 在 编写 软 
件 时 ， 力 求 做 到 准确 、 无 误 。 然而， 软件 上 的 缺陷 有 时 是 很 难 避免 的 ， 这 正 是 今天 的 软 
件 中 存在 那么 多 缺陷 的 原因 。 

Morris 蠕虫 及 其 许多 现代 变种 给 我 们 的 教训 极为 深刻 ， 其 中 最 重要 的 一 点 是 : 缺陷 
导致 的 后 果 并 不 局 限于 产生 不 良 的 效果 或 造成 某 一 特定 服务 的 混乱 ， 更 可 怕 的 是 因为 某 
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一 部 分 代码 的 错误 而 导致 整个 系统 的 瘫痪 。 当 然 ， 没 有 人 有 意 要 编写 带 有 缺陷 的 代码 。 
只 要 采取 相应 的 步骤 ， 可 以 降低 其 发 生 的 可 能 性 。 

第 一 ， 在 编写 网 络 服务 器 软件 时 ， 要 充分 考虑 如 何 防止 黑客 的 攻击 行为 。 要 检验 所 
有 输入 数据 的 正确 性 。 如 果 程 序 中 使 用 了 固定 长 度 的 缓冲 器 ， 要 确保 这 些 缓冲 器 不 会 产 
生 溢 出 。 如 果 使 用 了 动态 分 配 存储 区 的 方法 ， 要 考虑 内 存 或 文件 系统 的 占用 情况 ， 同 时 
还 要 考虑 到 在 系统 恢复 时 也 要 占用 内 存 和 磁盘 空间 。 

第 二 ， 必 须 对 输入 语法 做 出 正确 的 定义 。 如 果 不 能 真正 理解 “正确 ”这 两 个 字 的 含 
义 ， 就 不 能 做 出 正确 性 检查 。 如 果 不 知道 什么 是 合法 的 ， 就 无 法 写 出 输入 语法 。 有 时 ， 
对 于 语法 正确 性 的 检查 需要 借助 于 某 些 编译 工具 。 

第 三 ， 必 须 遵守 “最 小 特权 ”原则 。 不 要 给 网 络 守护 程序 授予 任何 超出 其 需要 的 权 
限 。 特 别 是 在 设置 防火 墙 的 访问 控制 规则 时 ， 轻 易 不 要 授予 用 户 超级 用 户 权限 。 例 如 ， 
我 们 会 给 本 地 邮件 转发 系统 的 某 些 模块 授予 一 定 的 特权 ， 使 其 能 将 用 户 发 送 的 信息 复制 
到 另外 一 个 用 户 的 邮箱 里 。 而 对 于 网 关上 的 邮件 服务 器 ， 通 常 不 设置 任何 特权 ， 它 所 做 
的 事情 仅 局 限于 将 邮件 从 一 个 网 络 端口 复制 到 另 一 个 网 络 端口 。 

如 果 进 行 恰当 的 设计 ， 即 使 是 那些 好 像 需 要 授权 的 服务 器 ,也 不 再 需要 授权 。 例如， 
UNIX 的 FTP 服务 器 ， 人 允许 用 户 使 用 root 权限 登录 ， 并 能 够 绑 定 到 20 端口 的 数据 通道 
E. XF 20 端口 绑 定 是 协议 的 要 求 , 但 可 以 采用 一 个 更 小 的 、 更 简单 的 和 更 明确 的 授权 
程序 来 做 这 件 事 。 同 样 ， 登 录 问 题 也 可 以 由 一 个 前 端 软件 来 解决 。 该 前 端 软件 仅 处 理 
USER 和 PASS 命令 ， 放 弃 授权 要 求 ， 并 执行 无 特权 程序 。 

最 后 需要 指出 : 不 要 为 了 追求 效率 而 牺牲 对 程序 正确 性 的 检查 。 如 果 仅 仅 为 了 节约 
几 纳 秒 的 执行 时 间 而 将 程序 设计 得 既 复 杂 又 别出心裁 , 并 且 又 需要 特权 , 那么 你 就 错 了 。 
现在 的 计算 机 硬件 速度 越 来 越 高 ， 节 约 的 这 点 时 间 毫 无 价值 。 一 旦 出 现 安全 问题 ， 在 清 
除 入 侵 上 所 花费 的 时 间 和 付出 的 代价 将 是 非常 巨大 的 。 


1.5.4 ”认证 失效 


许多 攻击 的 成 功 都 可 归结 于 认证 机 制 的 失效 。 即 使 一 个 安全 机 制 再 好 ， 也 存在 遭受 
攻击 的 可 能 性 。 例 如 ， 一 个 源 地 址 有 效 性 的 验证 机 制 ， 在 某 些 应 用 场合 (如 有 防火 墙 地 
址 过 滤 时 ) 能 够 发 挥 作用 , 但 是 黑客 可 以 使 用 rpcbind 重 发 某 些 请 求 。 在 这 种 情况 下 ， 最 
终 的 服务 器 就 会 被 欺骗 。 对 于 这 些 服务 器 来 说 ， 这 些 消息 看 起 来 好 像 源 于 本 地 ， 但 实际 
上 来 自 其 他 地 方 。 

如 果 源 机 器 是 不 可 信 的 ， 基 于 地 址 的 认证 也 会 失效 。 虽 然 人 们 可 以 采用 口令 机 制 来 
控制 自己 的 计算 机 ， 但 是 口令 失窃 也 是 常见 的 事情 。 

某 些 认证 机 制 失 效 是 因为 协议 没有 携带 正确 的 信息 。TCP 和 IP 都 不 能 识别 发 送 用 
户 。X11 和 rsh 协议 要 么 靠 自己 去 获得 这 些 信 息 ， 要 么 就 没有 这 些 信 息 。 如 果 它 们 能 够 
得 到 信息 ， 也 必须 以 安全 的 方式 通过 网 络 传送 这 些 信 息 。 

即使 对 源 主机 或 用 户 采 用 密码 认证 的 方式 ， 往 往 也 不 能 奏效 。 如 前 所 述 ， 一 个 被 破 
坏 的 主机 不 会 进行 安全 加 密 。 

窃听 者 可 以 很 容易 地 从 未 加 密 的 会 话 中 获得 明文 的 口令 ， 有 时 也 可 能 对 某 些 一 次 口 
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令 方 案 发 起 攻击 。 对 于 一 个 好 的 认证 方案 来 说 ， 下 次 登录 必须 具有 唯一 的 有 效 口令 。 有 
时 攻击 者 会 将 自己 置 于 客户 机 和 服务 器 中 间 , 它 仅 仅 转 发 服务 器 对 客户 机 发 出 的 “挑战 ” 
(challenge， 实 际 上 为 一 随机 数 )， 并 从 客户 机 获得 一 个 正确 的 “响应 ”此 时 ， 攻 击 者 可 
以 采用 此 “响应 ”信息 登录 到 服务 器 上 。 有 关 此 类 攻击 可 参见 相关 文献 。 

通过 修改 认证 方案 消除 其 缺陷 ， 完 全 可 以 挫败 这 种 类 型 的 攻击 。 基 于 “挑战 /响应 ” 
(Challenge/Response) 的 认证 机 制 完全 可 以 通过 精心 设计 的 安全 密码 协议 来 消除 这 种 攻 
击 的 威胁 。 


1.5.5 ”协议 缺陷 


前 面 讨 论 的 是 在 系统 完全 正常 工作 的 情况 下 发 生 的 攻击 。 但 是 ， 有 些 认证 协议 本 身 
就 有 安全 缺陷 ， 这 些 缺 陷 的 存在 会 直接 导致 攻击 的 发 生 。 

例如 ,攻击 者 可 对 TCP 发 起 序列 号 攻击 。 由 于 在 建立 连接 时 所 生成 的 初始 序列 号 的 
随机 性 不 够 ， 攻 击 者 很 可 能 发 起 源 地 址 欺骗 攻 击 。 为 了 做 到 公平 ，TCP 的 序列 号 在 设计 
时 并 没有 考虑 抵御 恶意 的 攻击 。 其 他 基于 序列 号 认证 的 协议 也 可 能 遭受 同样 的 攻击 。 这 
样 的 协议 有 很 多 ， 如 DNS 和 许多 基于 RPC 的 协议 。 

在 密码 学 上 ， 如 何 发 现 协议 中 存在 的 安全 漏洞 是 非常 重要 的 研究 课题 。 有 时 错误 是 
由 协议 的 设计 者 无 意 造成 的 ， 但 更 多 的 安全 漏洞 是 由 不 同 的 安全 假设 所 引发 的 。 对 密码 
协议 的 安全 性 进行 证 明 非 常 困难 ， 人 们 正在 加 强 这 方面 的 研究 工作 。 现 在 ， 各 种 学 术 刊 
物 、 安 全 公司 网 站 和 操作 系统 开发 商 经 常 公布 一 些 新 发 现 的 安全 漏洞 ， 我 们 必须 对 此 加 
以 重视 。 

安全 协议 取决 于 安全 的 基础 。 例 如 ， 安 全 壳 协 议 (Secure Shell, SSH) 是 一 个 安全 
的 远程 存 取 协议 。SSH 协议 具有 这 样 一 个 特点 : 用 户 可 以 指定 一 个 可 信 的 公 钥 ， 并 将 其 
存储 于 authorized keys 文件 中 。 如 果 客 户 机 知道 相应 的 私 钥 ， 该 用 户 不 用 输入 口令 就 能 
登录 。 在 UNIX 系统 中 ， 该 文件 通常 位 于 用 户主 目录 下 的 .ssh 目录 中 。 现 在 来 考虑 这 样 
一 种 情况 :， 有 人 使 用 SSH 登录 到 某 个 加 载 了 NFS 主 目录 的 主机 上 。 在 这 种 情况 下 ， 攻 
击 者 就 可 以 欺骗 NFS 将 一 个 伪造 的 authorized keys 文件 注入 其 主 目录 中 。 

802.11 无 线 数据 通信 标准 中 的 WEP 在 设计 上 也 存在 缺陷 。 目 前 ， 针 对 WEP 的 攻击 
软件 在 网 络 上 随处 可 见 。 这 一 切 说 明 ， 真 正 的 安全 是 很 难 做 到 的 。 工 程 师 在 设计 密码 协 
议 时 ,应 当 多 向 密码 学 家 咨询 ,而 不 是 随意 设计 。 信息 安全 对 人 的 技术 素质 要 求 非常 高 ， 
没有 进行 专业 学 习 和 受过 专门 培训 的 人 员 很 难 胜任 此 项 工作 。 


1.5.6 ”信息 泄漏 


许多 协议 都 会 丢失 一 些 信息 , 这 就 给 那些 想 要 使 用 该 服务 的 攻击 者 提供 了 可 乘 之 机 。 
这 些 信息 可 能 成 为 商业 间谍 窃取 的 目标 ， 攻 击 者 也 可 借助 这 些 信息 攻破 系统 。Finger 协 
议 就 是 这 样 一 个 例子 。 这 些 信息 除了 可 以 用 于 口令 猜测 之 外 , 还 可 以 用 来 进行 欺骗 攻击 。 

有 时 ， 电 话 号 码 和 办 公 室 的 房间 号 也 可 能 很 有 用 ， 可 以 根据 电话 号 码 本 推理 出 该 组 
织 的 结构 。 
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在 某 些 公司 的 网 站 上 ， 往 往 提 供 了 在 线 的 电话 号 码 查询 。 其 实 ， 公 司 的 这 些 电话 号 
码 信 息 也 应 该 是 保密 的 。 因 为 ， 当 猎头 们 需要 某 些 具有 专业 技能 的 人 员 时 ， 他 们 可 以 根 
据 这 些 信息 打 电 话 找到 他 们 想 要 的 专业 人 才 。 

另 一 个 丰富 的 数据 来 源 是 DNS。 在 这 里 ， 黑客 可 以 获得 从 公司 的 组 织 结构 到 目标 用 
户 的 非常 有 价值 的 数据 。 要 控制 数据 的 流出 是 非常 困难 的 ， 唯 一 的 办 法 是 对 外 部 可 见 的 
DNS 加 以 限制 ， 使 其 仅 提供 网 关机 器 的 地 址 列表 。 

精明 的 黑客 当然 深 说 其 理 ， 他 根本 不 需要 你 说 出 有 哪些 机 器 存在 。 他 只 需 进行 端口 
号 和 地 址 空间 扫描 ,就 可 寻找 感 兴趣 的 服务 和 隐藏 的 主机 。 这 里 ,对 DNS 进行 保护 的 最 
佳 防护 措施 是 使 用 防火 墙 。 如 果 黑 客 不 能 向 某 一 主机 发 送 数 据 包 ， 他 也 就 不 能 侵入 该 主 
机 并 获取 有 价值 的 信息 。 


1.5.7 ”指数 攻击 一 一 病毒 和 蠕虫 


指数 攻击 能 够 使 用 程序 快速 复制 并 传播 攻击 。 当 程序 自行 传播 时 ， 这 些 程序 称 为 里 
E (Worms); 当 它 们 依附 于 其 他 程序 传播 时 ， 这 些 程序 就 叫做 病毒 。 它 们 传播 的 数学 模 
型 是 相似 的 ， 因 而 两 者 之 间 的 区 别 并 不 重要 。 这 些 程 序 的 流行 传播 与 生物 感染 病毒 非常 
相似 。 

这 些 程序 利用 在 很 多 系统 或 用 户 中 普遍 存在 的 缺陷 和 不 良 行为 获得 成 功 。 它 们 可 以 
在 几 个 小 时 或 几 分 钟 之 内 扩散 到 全 世界 ， 从 而 使 许多 机 构 蒙受 巨大 损失 。Melissa 蠕虫 能 
够 阻塞 基于 微软 软件 的 电子 邮件 系统 达 5 天 之 久 。 各 种 各 样 的 蠕虫 给 Internet 造成 巨大 
的 负担 。 这 些 程序 本 身 更 倾向 于 攻击 随机 的 目标 ， 而 不 是 针对 特定 的 个 人 或 机 构 。 但 是 ， 
它们 所 携带 的 某 些 代码 却 可 能 对 那些 著名 的 政治 目标 或 商业 目标 发 起 攻击 。 

有 许多 方法 可 以 减少 感染 病毒 的 概率 。 最 基本 的 方法 是 不 使 用 流行 的 软件 。 如 果 采 
用 自行 编写 的 操作 系统 或 应 用 程序 ， 就 不 太 可 能 受到 感染 。 目 前 ， 针 对 微软 的 视窗 操作 
系统 的 病毒 有 很 多 ， 但 Macintosh 和 UNIX 用 户 却 很 少 受到 病毒 感染 。 现 在 这 种 情况 正 
在 发 生变 化 ， 尤 其 是 针对 Linux 的 攻击 越 来 越 多 。 我 们 已 发 现 Linux 蠕虫 和 一 些 交叉 平 
台 的 蠕虫 能 够 通过 几 种 平台 进行 传播 ， 或 者 通过 直接 网 络 访问 、 网 页 浏览 和 电子 邮件 进 
行 传播 。 

如 果 不 与 受 感染 的 主机 通信 ， 就 不 会 感染 病毒 。 通 过 对 网 络 访问 和 从 外 部 获得 的 文 
件 进 行 严 格 的 控制 ， 就 会 大 大 地 降低 遭受 感染 的 风险 。 需 要 引起 注意 的 是 ， 有 些 病毒 是 
经 人 工 传播 的 。 有 人 会 将 消息 转发 给 他 的 所 有 朋友 ， 并 指示 他 们 将 此 信息 再 转发 给 他 们 
的 所 有 朋友 ， 以 此 类 推 。 那 些 缺 乏 计算 机 知识 的 用 户 就 会 照 此 去 做 。 这 样 ， 接 收 到 这 一 
消息 的 用 户 就 会 受到 感染 。 在 某 些 情 况 下 ， 这 些 消息 往往 指示 你 删除 某 个 关键 的 文件 。 
如 果真 的 照 此 去 做 ， 你 的 计算 机 就 会 受到 损害 。 

对 于 已 知 的 计算 机 病毒 ， 采 用 流行 的 查 杀 病毒 软件 来 清除 非常 有 效 。 但 是 这 些 软件 
必须 经 常 升 级 ， 因 为 病毒 的 制造 者 和 杀毒 软件 厂商 之 间 正 进行 着 一 场 较量 。 现 在 ， 病 毒 
隐藏 的 隐蔽 性 越 来 越 高 ， 使 得 杀毒 软件 不 再 局 限于 在 可 执行 代码 中 寻找 某 些 字符 串 。 它 
们 必须 能 够 仿效 这 些 代 码 并 寻找 滤 过 性 病毒 的 行为 特征 。 由 于 病毒 越 来 越 难以 发 现 ， 病 
毒 检测 软件 就 不 得 不 花 更 多 的 时 间 来 检查 每 个 文件 ， 有 时 所 花费 的 时 间 会 很 长 。 病 毒 的 
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制造 者 可 能 会 巧妙 地 设计 代码 ， 使 杀毒 软件 在 一 定 的 时 间 内 不 能 识别 出 来 。 


15.8 拒绝 服务 攻击 


在 前 面 讨 论 的 攻击 方式 中 ， 大 多 数 是 基于 协议 的 弱点 、 服 务 器 软件 的 缺陷 和 人 为 因 
素 而 实施 的 。 拒 绝 服务 (Denial-of-Service, Dos) 攻击 则 与 之 不 同 ， 它 们 仅仅 是 过 度 使 
用 服务 ， 使 软件 、 硬 件 过 度 运行 ， 使 网 络 连接 超出 其 容量 。 目 的 是 造成 自动 关机 或 系统 
瘫痪 ， 或 者 降低 服务 质量 。 这 种 攻击 通常 不 会 造成 文件 删除 或 数据 丢失 ， 因 此 是 一 种 比 
较 温 和 的 攻击 。 

这 类 攻击 往往 比较 明显 ， 较 容易 发 现 。 例 如 ， 关 闭 一 个 服务 很 容易 被 检测 到 。 尽 管 
攻击 很 容易 暴露 ， 但 要 找到 攻击 的 源头 却 十 分 困难 。 这 类 攻击 往往 生成 伪装 的 数据 包 ， 
其 中 含有 随机 和 无 效 的 返回 地 址 。 

分 布 式 拒绝 服务 (Distributed Denial-of-Service, DDoS) 攻击 使 用 很 多 Internet 主机 ， 
同时 向 某 个 目标 发 起 攻击 。 通 常 ， 参 与 攻击 的 主机 却 不 明 不 白地 成 为 攻击 者 的 帮凶 。 这 
些 主机 可 能 已 经 被 攻击 者 攻破 ， 或 者 安装 了 恶意 的 代码 。DDoS 攻击 通常 难以 恢复 ， 因 
为 攻击 有 可 能 来 自 世 界 各 地 。 

目前 ， 由 于 黑客 采用 DDoS 攻击 成 功 地 攻击 了 几 个 著名 的 网 站 ， 如 Yahoo、 微 软 及 
SCO 等 ， 它 已 经 引起 全 世界 的 广泛 关注 。DDoS HSE DoS 攻击 的 一 种 ， 不 同 的 是 它 能 
够 使 用 许多 台 计 算 机 通过 网 络 同时 对 某 个 网 站 发 起 攻击 。 它 们 的 工作 原理 如 下 : 

(1) 黑客 通过 Intemet 将 木马 程序 植 入 尽 可 能 多 的 计算 机 上 。 这 些 计算 机 分 布 在 全 
世界 不 同 的 区 域 。 被 植 入 的 木马 程序 绑 定 在 计算 机 的 某 个 端口 上 ， 等 待 接受 攻击 命令 。 

(2) 攻击 者 在 Intemet 的 某 个 地 方 安装 一 个 主 控 程 序 ， 该 主 控 程 序 中 含有 一 个 木马 
程序 所 处 位 置 的 列表 。 此 后 ， 主 控 程 序 等 待 黑客 发 出 命令 。 

G) 攻击 者 等 待 时 机 ， 做 好 攻击 命令 前 的 准备 。 

(4) 等 攻击 的 时 机 一 到 ， 攻 击 者 就 会 向 主 控 程 序 发 出 一 个 消息 ， 其 中 包括 要 攻击 的 
目标 地 址 。 主 控 程序 就 会 向 每 个 植 入 木马 程序 的 计算 机 发 送 攻 击 命令 ， 这 个 命令 中 包含 
攻击 目标 的 地 址 。 

G) 这 些 木马 程序 立即 向 攻击 目标 发 送 大 量 的 数据 包 。 这 些 数 据 包 的 数量 巨大 ， 足 
以 使 其 瘫痪 。 

从 主 控 程 序 向 下 发 出 的 攻击 命令 中 通常 使 用 伪装 的 源 地 址 ， 有 些 则 采用 密码 技术 使 
其 难以 识别 。 从 植 入 木马 程序 的 计算 机 发 出 的 数据 包 也 使 用 了 伪装 的 人 P 源 地 址 ， 要 想 追 
查 数据 包 的 来 源 非常 困难 。 此 外 ， 主 控 程 序 常常 使 用 ICMP 响应 机 制 与 攻击 目标 通信 。 
许多 防火 墙 都 开放 了 ICMP. 

现在 网 络 上 流行 许多 DDoS 攻击 工具 ,还 有 它们 的 许多 变种 。 其 中 之 一 是 Tribe Flood 
Network (TFN)。 从 许多 网 站 上 都 可 以 获得 其 源 代码 。 黑 客 可 以 选择 使 用 各 种 Flood t 
术 ， 如 UDP Flood, TCP SYN Flood, ICMP 响应 Flood, Smurf 攻击 等 。 从 主 控 程 序 返 回 
的 ICMP 响应 数据 包 会 告诉 木马 程序 采用 哪 一 种 Flood 攻击 方式 。 此 外 , 还 有 其 他 DDoS 
TA, W TFN2K (HE TFN 更 先进 的 工具 ， 可 以 攻击 Windows NT 和 许多 UNIX 系统 )， 
Trinoo 和 Stacheldraht 等 。 最 后 一 个 工具 十 分 先进 ， 它 具有 加 密 连 接 和 自动 升级 的 特征 。 
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现在 一 些 新 的 工具 越 来 越 高 明 。Slapper 是 一 个 攻击 Linux 系统 的 蠕虫 ， 它 可 以 在 许 
多 网 络 节点 中 间 建 立 实体 到 实体 〈peerto-peer) 的 网 络 ， 使 主 控 程 序 的 通信 问题 变 得 更 
容易 。 还 有 一 些 工具 则 使 用 IRC 信道 作为 控制 通道 。 

对 于 拒绝 服务 攻击 ， 没 有 什么 灵丹妙药 ， 只 能 采取 一 些 措施 减轻 攻击 的 强度 ， 但 绝 
对 不 可 能 完全 消除 它们 。 遇 到 这 种 攻击 时 ， 可 以 采取 以 下 4 种 措施 : 

(1) 寻找 一 种 方法 来 过 滤 掉 这 些 不 良 的 数据 包 。 

(2) 提高 对 接收 数据 进行 处 理 的 能 力 。 

(3) 追查 并 关闭 那些 发 动 攻 击 的 站 点 。 

(4) 增加 硬件 设备 或 提高 网 络 容量 ， 以 从 容 处 理 正 常 的 负载 和 攻击 数据 流量 。 

当然 ， 以 上 这 些 措施 都 不 是 完美 的 ， 只 能 与 攻击 者 展开 较量 。 到 底 谁 能 取得 这 场 斗 
争 的 胜利 ， 取 决 于 对 手 能 够 走 多 远 。 


16 ”开放 系统 互 连 安全 体系 结构 


研究 信息 系统 安全 体系 结构 的 目的 ， 就 是 将 普遍 性 的 安全 理论 与 实际 信息 系统 相 结 
合 ， 形 成 满足 信息 系统 安全 需求 的 安全 体系 结构 。 应 用 安全 体系 结构 的 目的 ， 就 是 从 管 
理 上 和 技术 上 保证 完整 、 准 确 地 实现 安全 策略 ， 满 足 安全 需求 。 开 放 系 统 互 连 〈Open 
System Interconnection, OSI) 安全 体系 结构 定义 了 必需 的 安全 服务 、 安 全 机 制 和 技术 管 
理 ， 以 及 它们 在 系统 上 的 合理 部 署 和 关系 配置 。 

由 于 基于 计算 机 网 络 的 信息 系统 以 开放 系统 Intemet 为 支撑 平台 ， 因 此 本 节 重 点 讨 
论 开 放 系 统 互 连 安全 体系 结构 。 

OSI 安全 体系 结构 的 研究 始 于 1982 年 ， 当 时 ISO 基本 参考 模型 刚刚 确立 。 这 项 工作 
Æ M ISO/IEC JTC1/SC21 完成 的 。 国 际 标准 化 组 织 (ISO) 于 1988 年 发 布 了 ISO 7498-2 
标准 ， 作 为 OSI 基本 参考 模型 的 新 补充 。1990 年 ， 国 际 电 信 联 盟 (International 
Telecommunication Union, ITU) 决定 采用 ISO 7498-2 作为 其 X.800 推荐 标准 。 因 此 ， 
X.800 和 ISO 7498-2 标准 基本 相同 。 

我 国 的 国家 标准 《信息 处 理 系统 开放 系统 互 连 基 本 参考 模型 一 一 第 二 部 分 ;安全 体 
系 结构 》(GB/T9387.2 一 1995)( 等 同 于 ISO 7498-2) All(Intemet 安全 体系 结构 》(RFC 2401) 
中 提 到 的 安全 体系 结构 是 两 个 普遍 适用 的 安全 体系 结构 ， 用 于 保证 在 开放 系统 中 进程 与 
进程 之 间 远 距离 安全 交换 信息 。 这 些 标准 确立 了 与 安全 体系 结构 有 关 的 一 般 要 素 ， 适 用 
于 开放 系统 之 间 需 要 通信 保护 的 各 种 场合 。 这 些 标准 在 参考 模型 的 框架 内 建立 起 一 些 指 
导 原 则 与 约束 条 件 ， 从 而 提供 了 解决 开放 互 连 系统 中 安全 问题 的 统一 方法 。 

为 了 有 效 评估 一 个 机 构 的 安全 需求 ， 并 对 所 使 用 的 安全 产品 和 安全 策略 进行 评估 和 
选择 ， 安 全 管理 员 需 要 采用 某 种 系统 的 方法 来 定义 系统 对 安全 的 需求 ， 并 对 这 些 需 求 进 
行 描述 。 在 集中 处 理 环 境 下 ， 要 准确 地 做 到 这 一 点 非常 困难 。 随 着 局 域 网 和 广域网 的 使 
用 ， 问 题 将 变 得 更 加 复杂 。 

ITU-T 推荐 方案 X.800 (Bll ISO 安全 框架 ) 定义 了 一 种 系统 的 评估 和 分 析 方 法 。 对 
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A E 章 
于 网 络 安全 管理 员 来 说 ， 它 提供 了 一 种 安全 的 组 织 方法 。 由 于 这 个 框架 是 作为 国际 标准 
开发 的 ， 所 以 被 广泛 使 用 。 一 些 计算 机 和 电信 服务 提供 商 已 经 在 其 产品 和 服务 上 开发 出 
这 些 安全 特性 ， 使 其 产品 和 服务 与 安全 机 制 的 结构 化 定义 紧密 地 联系 在 一 起 。 

通过 对 OSI 安全 架构 的 讨论 ， 可 以 对 许多 概念 进行 初步 了 解 。 下 面 重点 讨论 安全 体 
系 结构 中 所 定义 的 安全 服务 和 安全 机 制 ， 以 及 两 者 之 间 存在 的 关系 。 


1.6.1 安全 服务 


X.800 对 安全 服务 做 出 定义 : 为 了 保证 系统 或 数据 传输 有 足够 的 安全 性 ， 开 放 系统 
通信 协议 所 提供 的 服务 。RFC2828 也 对 安全 服务 做 出 了 更 加 明确 的 定义 : 安全 服务 是 一 
种 由 系统 提供 的 对 资源 进行 特殊 保护 的 进程 或 通信 服务 。 安 全 服务 通过 安全 机 制 来 实现 
安全 策略 。X.800 将 这 些 服务 分 为 5 类 共 14 个 特定 服务 ， 如 表 1-2 所 示 。 这 5 类 安全 服 
务 将 在 后 面 逐一 进行 讨论 。 


引言 


表 1-2 X.800 定义 的 5 类 安全 服务 


分 X 特定 服务 HOR 
=e FPSB LAME TEL, 为 该 连接 的 
认证 《确保 通信 实体 就 | 同等 实体 认证 实体 的 身份 提供 可 信 性 保障 
) - —— 一 一 
是 它 所 声称 的 实体 ) 。 | AAA SEC, EL SHOE AIL 
防止 对 资源 的 非 授权 访问 , 包括 防止 以 非 授权 的 
访问 控制 方式 使 用 某 一 资源 。 这 种 访问 控制 要 与 不 同 的 安 
全 策略 协调 一 致 
连接 保密 性 保护 一 次 连接 中 所 有 的 用 户 数据 
数据 保密 性 (保护 数据 ，| 无 连接 保密 性 保护 单个 数据 单元 里 的 所 有 用 户 数 据 
使 之 不 被 非 授权 地 泄 厂 对 二 次 连接 或 单个 数据 单元 里 选 定 的 数据 部 分 
漏 ) 选择 域 保密 性 提供 保密 性 保护 
流量 保密 性 保护 那些 可 以 通过 观察 流量 而 获得 的 信息 
vay | 提供 一 次 连接 中 所 有 用 户 数 据 的 完整 性 . RUE 
且 有 人 恢复 功能 的 连接 | 个 数据 序列 内 存在 的 修改 、 插 入 、 删 除 或 重 发， 
ae 且 试图 将 其 恢复 
数据 完整 性 (保证 接收 | = an 
数据 完整 性 《保证 接收 | 天 恢复 功能 的 连接 完 | MIT RSL EIA, OLE 
I | we 供 检测 ， 无 恢复 功能 
修改 、 插 入 、 删 除 或 重 提供 一 次 连接 中 传输 的 单个 数据 单元 用 户 数据 
a 选择 域 连接 完整 性 | 中 选 定 部 分 的 数据 完整 性 , 并 判断 选 定 域 是 否 有 
修改 、 插 入 、 删 除 或 重 发 
as 为 单个 无 连接 数据 单元 提供 完整 性 保护 ; 判断 选 
无 连接 完整 性 定 域 是 否 被 修改 
不 可 否认 性 《防止 整个 nage a N 
TURAE BEED | 源 点 的 不 可 理 认 性 | 证 明 消息 由 特定 的 一 广发 册 
意 一 个 通信 实体 进行 否 | i a 
aie, 信 宿 的 不 可 否认 性 | 证 明 消息 被 特定 方 收 到 
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1. 认证 

认证 服务 与 保证 通信 的 真实 性 有 关 。 在 单条 消息 下 ， 如 一 条 警告 或 报警 信号 认证 服 
务 是 向 接收 方 保证 消息 来 自 所 声称 的 发 送 方 。 对 于 正在 进行 的 交互 , 如 终端 和 主机 连接 ， 
就 涉及 两 个 方面 的 问题 : 首先 ,在 连接 的 初始 化 阶段 ,认证 服务 保证 两 个 实体 是 可 信 的 ， 
也 就 是 说 ， 每 个 实体 都 是 它们 所 声称 的 实体 ， 其 次 ， 认 证 服务 必须 保证 该 连接 不 受 第 三 
方 的 干扰 , 例如 ,第 三 方 能 够 伪装 成 两 个 合法 实体 中 的 一 方 ,进行 非 授 权 的 传输 或 接收 。 

该 标准 还 定义 了 如 下 两 个 特殊 的 认证 服务 : 

(1) 同等 实体 认证 。 用 于 在 连接 建立 或 数据 传输 阶段 为 连接 中 的 同等 实体 提供 身份 
确认 。 该 服务 提供 这 样 的 保证 : 一 个 实体 不 能 实现 伪装 成 另外 一 个 实体 或 对 上 次 连接 的 
消息 进行 非 授 权重 发 的 企图 。 

(2) 数据 源 认 证 。 为 数据 的 来 源 提供 确认 ， 但 对 数据 的 复制 或 修改 不 提供 保护 。 这 种 
服务 支持 电子 邮件 这 种 类 型 的 应 用 。 在 这 种 应 用 下 ， 通 信 实 体 之 间 没 有 任何 预先 的 交互 。 


2. 访问 控制 

在 网 络 安全 中 , 访问 控制 对 那些 通过 通信 连接 对 主机 和 应 用 的 访问 进行 限制 和 控制 。 
这 种 保护 服务 可 应 用 于 对 资源 的 各 种 不 同类 型 的 访问 。 例 如 ， 这 些 访问 包括 使 用 通信 资 
源 、 读 / 写 或 删除 信息 资源 或 处 理 信息 资源 的 操作 。 为 此 ， 每 个 试图 获得 访问 控制 权限 的 
实体 必须 在 经 过 认证 或 识别 之 后 ， 才 能 获取 其 相应 的 访问 控制 权限 。 


3. 数据 保密 性 

保密 性 是 防止 传输 的 数据 章 到 诸如 窃听 、 流 量 分 析 等 被 动 攻击 。 对 于 数据 传输 ， 可 
以 提供 多 层 的 保护 。 最 常 使 用 的 方法 是 在 某 个 时 间 段 内 对 两 个 用 户 之 间 所 传输 的 所 有 用 
户 数据 提供 保护 。 例 如 ， 若 两 个 系统 之 间 建 立 了 TCP 连接 ， 这 种 最 通用 的 保护 措施 可 以 
防止 在 TCP 连接 上 传输 用 户 数据 的 泄漏 。 此 外 ， 还 可 以 采用 一 种 更 特殊 的 保密 性 服务 ， 
它 可 以 对 单条 消息 或 对 单条 消息 中 的 某 个 特定 的 区 域 提 供 保护 。 这 种 特殊 的 保护 措施 与 
普通 的 保护 措施 相 比 ， 所 使 用 的 场合 更 少 ， 而 且 实现 起 来 更 复杂 、 更 昂贵 。 

保密 性 的 另外 一 个 用 途 是 防止 流量 分 析 。 它 可 以 使 攻击 者 观察 不 到 消息 的 信 源 和 信 
宿 、 频 率 、 长 度 或 通信 设施 上 的 其 他 流量 特征 。 


4. 数据 完整 性 

与 数据 的 保密 性 相 比 , 数据 完整 性 可 以 应 用 于 消息 流 、 单 条 消息 或 消息 的 选 定 部 分 。 
同样 ， 最 常用 和 直接 的 方法 是 对 整个 数据 流 提供 保护 。 

面向 连接 的 完整 性 服务 保证 收 到 的 消息 和 发 出 的 消息 一 致 , 不 存在 对 消息 进行 复制 、 
插入 、 修 改 、 倒 序 、 重 发 和 破坏 。 因 此 ， 面 向 连接 的 完整 性 服务 也 能 够 解决 消息 流 的 修 
改 和 拒绝 服务 两 个 问题 。 另 一 方面 ， 用 于 处 理 单条 消息 的 无 连接 完整 性 服务 通常 仅 防止 
对 单条 消息 的 修改 。 

另外 ， 还 可 以 区 分 有 恢复 功能 的 完整 性 服务 和 无 恢复 功能 的 完整 性 服务 。 因 为 数据 
完整 性 的 破坏 与 主动 攻击 有 关 ， 所 以 重点 在 于 检测 而 不 是 阻止 攻击 。 如 果 检 测 到 完整 性 
遭 到 破坏 ， 那 么 完整 性 服务 能 够 报告 这 种 破坏 ， 并 通过 软件 或 人 工 干预 的 办 法 来 恢复 被 
破坏 的 部 分 。 在 后 面 可 以 看 到 ， 有 些 安全 机 制 可 以 用 来 恢复 数据 的 完整 性 。 通 常 ， 自 动 
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恢复 机 制 是 一 种 非常 好 的 选择 。 


5. 不 可 否认 性 

不 可 否认 性 防止 发 送 方 或 接收 方 否认 传输 或 接收 过 某 条 消息 。 因此 ， 当 消息 发 出 后 ， 
接收 方 能 证 明 消息 是 由 所 声称 的 发 送 方 发 出 的 。 同 样 ， 当 消息 接收 后 ， 发 送 方 能 证 明 消 
息 确实 是 由 所 声称 的 接收 方 收 到 的 。 


6. 可 用 性 服务 

X.800 和 RFC2828 对 可 用 性 的 定义 是 : 根据 系统 的 性 能 说 明 ， 能 够 按照 系统 所 授权 
的 实体 的 要 求 对 系统 或 系统 资源 进行 访问 。 也 就 是 说 ， 当 用 户 请 求 服务 时 ， 如 果 系 统 设 
计时 能 够 提供 这 些 服 务 ， 则 系统 是 可 用 的 。 许 多 攻击 可 能 导致 可 用 性 的 损失 或 降低 。 可 
以 采取 一 些 自动 防御 措施 〈 如 认证 、 加 密 等 ) 来 对 付 这 些 攻 击 。 

X.800 将 可 用 性 看 做 是 与 其 他 安全 服务 相关 的 性 质 。 但 是 ， 对 可 用 性 服务 进行 单独 说 
明 很 有 意义 。 可 用 性 服务 能 够 确保 系统 的 可 用 性 ， 能 够 对 付 由 拒绝 服务 攻击 引起 的 安全 问 
题 。 由 于 它 依赖 于 对 系统 资源 的 恰当 管理 和 控制 , 因此 它 依赖 于 访问 控制 和 其 他 安全 服务 。 


16.2 ”安全 机 制 


表 1-3 列 出 了 X.800 定义 的 安全 机 制 。 由 表 可 知 ， 这 些 安全 机 制 可 以 分 成 两 类 : 一 
类 在 特定 的 协议 层 实现 ， 另 一 类 不 属于 任何 的 协议 层 或 安全 服务 。 前 一 类 被 称 做 特定 安 
全 机 制 ， 共 有 8 种 ， 后 一 类 被 称 为 普遍 安全 机 制 ， 共 有 5 种 。 


表 1-3 X.800 定义 的 安全 机 制 


| 分 类 | 内 容 


p 运用 数学 算法 将 数据 转换 成 不 可 知 的 形式 。 数据 的 变换 和 复原 依 
赖 于 算法 和 一 个 或 多 个 加 密 密 钥 
附加 于 数据 单元 之 后 的 数据 ， 它 是 对 数据 单元 的 密码 变换 ， 可 使 
特定 安全 机 接收 方 证 明 数据 的 来 源 和 完整 性 ， 并 防止 伪造 
ne 访问 控制 对 资源 实施 访问 控制 的 各 种 机 制 
NE 数据 完整 性。 | 用 于 保证 数据 元 或 数据 流 的 完整 性 的 各 种 机 机 
We OSI 安生 通过 信息 交换 来 保证 实体 身份 的 各 种 机 制 
服务 ) 在 数据 流 空隙 中 插入 若干 位 以 阻止 流量 分 析 
能 够 为 某 些 数据 动态 地 或 预定 地 选取 路 由 ,确保 只 使 用 物理 上 安 
全 的 子 网 络 、 中 继 站 或 链 路 
利用 可 信 的 第 三 方 来 保证 数据 交换 的 某 些 性 质 
根据 某 些 标准 《如 安全 策略 所 设立 的 标准 ) 被 认为 是 正确 的 ， 就 
是 可 信 的 


可 信 功 能 度 


普遍 安全 机 | 安全 标志 资源 (可 能 是 数据 元 ) 的 标志 ， 以 指明 该 资源 的 属性 
HART Er 检测 与 安全 相关 的 事件 
全 服务 或 协 | eat: | 收集 潜在 可 用 于 安全 审计 的 数据 ， 以 便 对 系统 的 记录 和 活动 进行 


议 层 的 机 制 ) 独立 地 观察 和 检查 


安全 恢复 en 
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1.6.3 ”安全 服务 与 安全 机 制 的 关系 


根据 X.800 的 定义 ， 安 全 服务 与 安全 机 制 之 间 的 关系 如 表 1-4 所 示 。 该 表 详 细 说 明 
了 实现 某 种 安全 服务 应 该 采用 哪些 安全 机 制 。 


表 1-4 安全 服务 与 安全 机 制 之 间 的 关系 


安全 服务 | me | $ oa ae | ee 
对 等 实体 认证 Y Y Y 

数据 源 认证 ¥ ¥ 

访问 控制 Y 

保密 性 Y ¥ 

数据 完整 性 Y 2 ae a 

不 可 否认 性 Y| | Y 
可 用 性 [YY 


HE: Y 表示 该 安全 机 制 适合 提供 该 种 安全 服务 ， 空 格 表示 该 安全 机 制 不 适合 提供 该 种 安全 服务 。 
表 1-5 安全 服务 与 协议 层 之 间 的 关系 


协 议 层 

calc JE 
对 等 实体 认证 || Y 
LORIE AE OC erie hy 
访问 控制 | | EZES | Y 
连接 保密 性 ¥ ¥ ¥ y Y Y 
D Eper Oe 
选择 域 保密 性 ¥ 
流量 保密 性 X Y 
具有 恢复 功能 的 连接 完整 性 y ki Y 
不 具有 恢复 功能 的 连接 完整 性 Y Y 
选择 域 有 连接 完整 性 Y ¥ y 
EENES 
选择 域 无 连接 完整 性 Y Y Y 
源 点 的 不 可 否认 | | | | | Y 
信 宿 的 不 可 否认 | | | | | | ¥ 


TE: 立 表示 该 服务 应 该 在 相应 的 层 中 提供 ， 空 格 表示 不 提供 。 第 7 层 必 须 提供 所 有 的 安全 服务 。 
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1.6.4 在 OSI 层 中 的 服务 配置 


OSI 安全 体系 结构 最 重要 的 贡献 是 总 结 了 各 种 安全 服务 在 OSI 参考 模型 的 7 层 中 的 
适当 配置 。 安 全 服务 与 协议 层 之 间 的 关系 如 表 1-5 所 示 。 


_ 1.7 _ 网 络 安全 模型 


一 个 最 广泛 采用 的 网 络 安全 模型 如 图 1-5 所 示 。 通 信 一 方 要 通过 Internet 将 消息 传送 
给 另 一 方 ， 那 么 通信 双方 〈 也 称 为 交互 的 主体 ) 必须 通过 执行 严格 的 通信 协议 来 共同 完 
成 消息 交换 。 在 Intemet 上 ， 通 信 双 方 要 建立 一 条 从 信 源 到 信 宿 的 路 由 ， 并 共同 使 用 通 
信 协 议 ( 如 TCP/IP) 来 建立 逻辑 信息 通道 。 

从 图 1-5 中 可 以 看 出 ， 一 个 网 络 安全 模型 通常 由 6 个 功能 实体 组 成 ， 它 们 分 别 是 消 
息 的 发 送 方 〈 信 源 )、 消 息 的 接收 方 〈 信 宿 )、 安 全 变换 、 信 息 通道 、 可 信 的 第 三 方 和 攻 
击 者 。 


如 (ae a un 配 者 
wa 


信息 通道 


rH 


X 
1 
SIKH At 
1 
r 


攻击 者 
1-5 网 络 安全 模型 


在 需要 保护 信息 传输 以 防 攻击 者 威胁 消息 的 保密 性 、 真 实 性 和 完整 性 时 ， 就 会 涉及 
信息 安全 ， 任 何 用 来 保证 信息 安全 的 方法 都 包含 如 下 两 个 方面 : 

CL) 对 被 发 送信 息 进 行 安全 相关 的 变换 。 例 如 对 消息 加 密 ， 它 打 乱 消息 使 得 攻击 者 
不 能 读 懂 消 息 ， 或 者 将 基于 消息 的 编码 附 于 消息 后 ， 用 于 验证 发 送 方 的 身份 。 

(2) 使 通信 双方 共享 某 些 秘密 信息 ， 而 这 些 消息 不 为 攻击 者 所 知 。 例 如 加 密 和 解密 
密 钥 ， 在 发 送 端 加 密 算法 采用 加 密 密 钥 对 所 发 送 的 消息 加 密 ， 而 在 接收 端 解密 算法 采用 
解密 密 钥 对 收 到 的 密 文 解密 。 

图 1-5 中 的 安全 变换 就 是 密码 学 课程 中 所 学 习 的 各 种 密码 算法 。 安 全 信息 通道 的 建 
立 可 以 采用 本 书 第 10 章 讨论 的 密 钥 管理 技术 和 第 14 章 讨 论 的 VPN 技术 实现 .为 了 实现 
安全 传输 ， 需 要 有 可 信 的 第 三 方 。 例 如 ， 第 三 方 负责 将 秘密 信息 分 配给 通信 双方 ， 而 对 
攻击 者 保密 ， 或 者 当 通信 双方 就 关于 信息 传输 的 真实 性 发 生 争执 时 ， 由 第 三 方 来 仲裁 。 
这 部 分 内 容 就 是 本 书 第 9 章 要 讨论 的 PKILCA 技术 。 

网 络 安全 模型 说 明 ， 设 计 安 全 服务 应 包含 以 下 4 个 方面 内 容 : 
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(1) 设计 一 个 算法 ， 它 执行 与 安全 相关 的 变换 ， 该 算法 应 是 攻击 者 无 法 攻破 的 。 

(2) 产生 算法 所 使 用 的 秘密 信息 。 

(3) 设计 分 配 和 共享 秘密 信息 的 方法 。 

(4) 指明 通信 双方 使 用 的 协议 ， 该 协议 利用 安全 算法 和 秘密 信息 实现 安全 服务 。 

本 书 讨论 的 安全 服务 和 安全 机 制 基本 上 均 遵 循 图 1-5 所 示 的 网 络 安全 模型 。 但 是 ， 
还 有 一 些 安全 应 用 方案 不 完全 符合 该 模型 ， 它 们 遵循 图 1-6 所 示 的 网 络 访问 安全 模型 。 
该 模型 希望 保护 信息 系统 不 受 有 害 的 访问 。 大 多 数 读者 都 熟悉 黑客 引起 的 问题 ， 黑 客 试 
图 通过 网 络 渗入 到 可 访问 的 系统 。 有 时 他 可 能 没有 恶意 ， 只 是 对 间 入 或 进入 计算 机 系统 
感到 满足 ， 或 者 入 侵 者 可 能 是 一 个 对 公司 不 满 的 员工 ， 想 破坏 公司 的 信息 系统 以 发 泄 自 
己 的 不 满 ， 或 者 入 侵 者 是 一 个 罪犯 ， 想 利用 计算 机 网 络 来 获取 非法 的 利益 〈 如 获取 信用 
卡号 或 进行 非法 的 资金 转账 )。 


信息 系统 
计算 机 资源 
ae SN ial A- 1/0) 
iag» ETT -a 
— KONAR D ”访问 通道 软件 
门卫 功能 
内 部 安全 控制 


1-6 网 络 访问 安全 模型 


另 一 种 类 型 的 有 害 访问 是 在 计算 机 系统 中 加 入 程序 ， 它 利用 系统 的 弱点 来 影响 应 用 
程序 和 实用 程序 ， 如 编辑 程序 和 编译 程序 。 程 序 引 起 的 威胁 有 如 下 两 种 : 

。 ”信息 访问 威胁 : 以 非 授权 用 户 的 名 义 截 获 或 修改 数据 。 

。 ”服务 威胁 : 利用 计算 机 中 的 服务 缺陷 禁止 合法 用 户 使 用 这 些 服务 。 

病毒 和 蠕虫 是 两 种 软件 攻击 ， 它 们 隐藏 在 有 用 的 软件 中 ， 并 通过 磁盘 进入 系统 ， 也 
可 以 通过 网 络 进入 系统 。 网 络 安全 更 关心 的 是 通过 网 络 进入 系统 的 攻击 。 

对 付 有 害 访问 所 需 的 安全 机 制 可 分 为 两 大 类 ， 如 图 1-6 所 示 。 第 一 类 称 为 门卫 功能 ， 
它 包含 基于 口令 的 登录 过 程 , 该 过 程 只 允许 授权 用 户 的 访问 。 本 书 第 15 章 的 身份 认证 技 
术 就 属于 此 类 安全 机 制 。 第 二 类 称 为 内 部 安全 监控 程序 ， 该 程序 负责 检测 和 拒绝 蠕虫、 
病毒 及 其 他 类 似 的 攻击 。 一 旦 非法 用 户 或 软件 获得 了 访问 权 ， 那 么 由 各 种 内 部 控制 程序 
组 成 的 第 二 道 防线 就 监视 其 活动 、 分 析 存储 的 信息 ， 以 便 检测 非法 入 侵 者 。 本 书 第 12 
章 的 防火 墙 技 术 和 第 13 章 的 入 侵 检测 技术 均 属 于 此 类 安全 机 制 。 


习 是 


$ 填空 题 

1. 信息 安全 的 3 个 基本 目标 是 、 和 。 此 外 ， 还 有 
一 个 不 可 忽视 的 目标 是 

2. 网 络 中 存在 的 4 种 基本 安全 威胁 有 、 、 
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3. 访问 控制 策略 可 以 划分 为 和 
4. 安全 性 攻击 可 以 划分 为 和 o 
5. X.800 定义 的 5 类 安全 服务 是 、 、 ` 


6. X.800 定义 的 8 种 特定 的 安全 机 制 是 、 、 、 
7. X.800 定义 的 5 种 普遍 的 安全 机 制 是 
和 š 
二 、 思 考题 
. 请 简 述 通信 安全 、 计 算 机 安全 和 网 络 安全 之 间 的 联系 与 区 别 。 
. 基本 的 安全 威胁 有 哪些 ?主要 的 渗入 类 型 威胁 是 什么 ?主要 的 植 入 类 型 威胁 是 
请 列 出 几 种 最 主要 的 威胁 。 
. 在 安全 领域 中 ， 除 了 采用 密码 技术 的 防护 措施 之 外 ， 还 有 哪些 其 他 类 型 的 防护 


4. 什么 是 安全 策略 ? 安全 策略 有 几 个 不 同 的 等 级 ? 
5. 什么 是 访问 控制 策略 ? 什么 是 强制 性 访问 控制 策略 ? 什么 是 自主 性 访问 控制 


6. 主动 攻击 和 被 动 攻击 有 何 区 别 ? 请 举例 说 明 。 

7. 网 络 攻击 的 常见 形式 有 哪些 ? 请 逐一 加 以 评述 。 

8. 请 简 述 安全 服务 与 安全 机 制 之 间 的 关系 。 

9. 请 画 出 一 个 通用 的 网 络 安全 模型 ， 并 说 明 每 个 功能 实体 的 作用 。 
10. 什么 是 安全 威胁 、 安 全 防护 和 风险 ? 

11. 什么 是 授权 ? 
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第 2 重 
计算 机 网 络 基 础 


21 世纪 的 重要 特征 就 是 数字 化 、 网 络 化 和 信息 化 , 是 一 个 以 网 络 为 核心 的 信息 时 代 。 
网 络 现 已 成 为 信息 社会 的 命脉 和 发 展 知识 经 济 的 重要 基础 。 

本 章 主要 介绍 网 络 体系 结构 、 分 组 交换 技术 以 及 Intemet 的 基本 知识 ， 为 第 3 章 
Internet 协议 的 安全 性 分 析 打 下 基础 。 


到 “计算 机 网 络 的 定义 


最 简单 的 定义 : 计算 机 网 络 是 一 些 互相 连接 的 、 自 治 的 计算 机 系统 的 集合 。 

通用 定义 : 凡 将 地 理 位 置 不 同 、 并 具有 独立 功能 的 多 个 计算 机 系统 通过 通信 线路 
和 设备 连接 起 来 、 以 功能 完善 的 网 络 软件 实现 网 络 中 资源 共享 的 系统 ， 称 为 计算 机 
网 络 。 

最 简单 的 计算 机 网 络 是 包含 两 台 计算 机 的 网 络 ;最 庞大 的 计算 机 网 络 就 是 Intemet， 
它 也 称 为 “网 络 的 网 络 ”(Network of Networks). 
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2.2.1 网 络 体系 结构 的 定义 


连接 在 网 络 上 的 两 台 计 算 机 要 相互 传送 文件 ， 必 须 完成 以 下 几 方 面 的 工作 : 

(1) 两 台 计 算 机 之 间 必 须 有 一 条 传送 数据 的 通路 。 

(2) 发 起 通信 的 计算 机 必须 将 数据 通信 的 通路 激活 。 所谓 激活 就 是 要 发 出 一 些 信 令 ， 
保证 要 传送 的 计算 机 数据 能 在 这 条 通路 上 正确 发 送 和 接收 。 

(3) 要 告诉 网 络 如 何 识别 接收 数据 的 计算 机 。 

(4) 发 起 通信 的 计算 机 必须 查 明 对 方 计算 机 是 否 已 准备 好 接收 数据 。 

(5) 发 起 通信 的 计算 机 必须 弄 清楚 ， 在 对 方 计算 机 中 的 文件 管理 程序 是 否 已 做 好 文 
件 接收 和 存储 的 准备 工作 。 

(6) 若 两 台 计算 机 的 文件 格式 不 兼容 ， 则 至 少 其 中 一 台 计算 机 应 完成 格式 转换 。 

(7) 对 出 现 的 各 种 差错 和 意外 ， 应 当 有 可 靠 的 措施 保证 对 方 计算 机 最 终 能 收 到 正确 
的 文件 。 
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综 上 所 述 ， 计 算 机 网 络 系统 是 非常 复杂 的 系统 ， 计 算 机 之 间 相 互通 信 涉 及 许多 复杂 
的 技术 问题 。 相 互通 信 的 两 台 计算 机 必须 高 度 协调 地 工作 才 行 。 

在 计算 机 网 络 中 要 做 到 实体 之 间 有 条 不 亲 地 交换 数据 ， 就 须 遵守 一 些 事先 约定 好 的 
规则 。 这 些 规则 明确 规定 了 所 交换 的 数据 的 格式 以 及 有 关 的 同步 问题 。 这 些 为 进行 网 络 
中 的 数据 交换 而 建立 的 规则 、 标 准 或 约定 就 是 网 络 协议 (Protocol)。 

网 络 协议 类 似 于 人 类 协议 ， 只 不 过 交换 报 文 和 采取 动作 的 实体 是 某 些 设备 的 硬件 和 
软件 组 件 ， 如 图 2-1 所 示 。 网 络 中 的 通信 是 指 在 不 同系 统 中 的 实体 之 间 的 通信 。 一 个 协 
议定 义 了 在 两 个 或 多 个 通信 实体 之 间 交换 的 报 文 格式 和 次 序 ， 以 及 在 报 文 传输 和 /或 接收 
或 其 他 事件 方面 所 采取 的 动作 。 


hae Q 
6 你 好 oe 
Se Sg 
你 好 TCP 连 接 
a 时 at 


间 


几 点 钟 了 ? iffskhttp://www.ewLcom/kurese-ress 


下 和 ?点 响应 页 文件 
en 
1 ~ 

图 2-1 人 类 通信 协议 和 计算 机 网 络 通信 协议 


为 了 设计 、 理 解 和 应 用 复杂 的 网 络 ， 人 们 提出 了 将 网 络 分 层 的 设计 思想 ， 如 图 2-2 


所 示 。 “分 层 ” 可 以 将 庞大 、 复 杂 的 问题 转换 为 若干 较 小 、 简 单 和 单一 的 局 部 问题 ， 这 样 
就 易于 理解 、 研 究 和 处 理 。 


N+1 [N+l 层 协议 -…--=| NH 
Nf NEB] N 
NA peN NOI 


图 2-2 网 络 分 层 设计 示意 图 


最 早 提出 分 层 思想 的 是 ARPANET 网 。 从 ARPANET 的 成 功 可 以 看 到 ， 尽 管 连 到 网 

上 的 主机 和 终端 的 型 号 及 其 性 能 各 不 相同 ， 但 由 于 它们 共同 遵守 了 计算 机 网 络 的 协议 ， 
所 以 可 以 相互 通信 。 
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体系 结构 通常 都 具有 可 分 层 的 特性 ， 因 此 网 络 体系 结构 都 采用 层次 结构 。 分 层 时 应 
注意 使 每 一 层 的 功能 非常 明确 。 若 层 数 太 少 ， 就 会 使 每 一 层 的 协议 太 复杂 ; 若 层 数 太 多 ， 
又 会 在 描述 和 综合 各 层 功 能 的 系统 工程 任务 时 遇 到 许多 麻烦 。 计 算 机 网 络 的 层次 、 各 层 
协议 及 层 间 接口 的 集合 ， 称 为 网 络 的 体系 结构 。 也 可 以 说 计算 机 网 络 的 体系 结构 是 构成 
计算 机 网 络 的 各 组 成 部 分 及 计算 机 网 络 本 身 所 必须 实现 的 功能 的 精确 定义 。 但 是 这 些 功 
能 究竟 是 用 硬件 或 者 软件 来 完成 ， 则 是 一 个 遵循 这 种 体系 结构 的 实现 问题 。 换 句 话说 ， 
实现 方式 不 属于 网 络 体系 结构 。 网 络 体系 结构 有 很 多 种 , 图 2-3 给 出 了 OSIISO 和 TCP/IP 
体系 结构 参考 模型 及 其 关系 。 


应 用 层 

表示 层 应 用 层 

会 话 层 

ewe | 传输 导 

网 络 层 网 际 层 
数据 链 路 层 

T 网 络 接口 层 
ise TCP/IP 参 考 模型 


图 2-3 OSIISO 和 TCP/IP 体系 结构 参考 模型 及 其 关系 


2.2.2 ”两 种 典型 的 网 络 体系 结构 


1. OSI/ISO 体系 结构 
世界 上 第 一 个 网 络 体系 结构 SNA(System Network Architecture), 是 IBM 公司 于 1974 
年 提出 的 。 凡是 遵循 SNA 体系 结构 的 设备 都 可 以 很 方便 地 进行 互 连 。 许 多 公司 也 纷纷 建 
立 自 己 的 网 络 体系 结构 ， 如 DEC 公司 提出 的 DNA (Digital Network Architecture) 体系 
结构 ， 用 于 本 公司 的 计算 机 组 成 网 络 。 由 于 网 络 体系 结构 不 一 样 ， 一 个 公司 的 计算 机 很 
难 与 另 一 个 公司 的 计算 机 互相 通信 。 于 是 ， 国 际 标准 化 组 织 ISO 在 1977 年 就 开始 制定 
有 关 异 种 计算 机 网 络 如 何 互 连 的 国际 标准 ， 并 提出 了 开放 系统 互 连 参考 模型 (OSL/RM 
Open System Interconnection Reference)， 简 称 OSI。1983 年 ，OSI 成 为 ISO 7498 国际 标 
准 。OSIISO 体系 结构 参考 模型 如 图 2-4 所 示 。 
OSI 的 7 层 功 能 如 下 : 
e 物理 层 : 在 链 路 上 透明 地 传输 位 。 涉及 线路 配置 、 确 定数 据 传输 模式 、 信 和 号 形式 、 
编码 及 连接 传输 介质 。 
e 数据 链 路 层 : 把 不 可 靠 的 信道 变 为 可 靠 的 信道 ， 在 链 路 上 无 差错 地 传送 帧 。 
e 网 络 层 : 在 源 节点 一 目的 节点 之 间 进 行路 由 选择 、 拥 塞 控 制 、 顺 序 控制 、 传 送 包 
(分 组 )， 保 证 报 文 的 正确 性 。 
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o 传输 层 : 提供 端 一 端 间 可 靠 的、 透明 的 数据 传输 ， 保 证 报 文 顺序 的 正确 性 和 数据 
的 完整 性 。 

e SHE: 建立 通信 进程 的 逻辑 名 字 与 物理 名 字 之 间 的 联系 ， 提 供 进 程 之 间 建 立 、 
管理 和 终止 会 话 的 方法 ， 处 理 同步 与 恢复 问题 。 

e 表示 层 : 实现 数据 转换 《格式 、 压 缩 、 加 密 等 )， 提 供 标 准 的 应 用 接口 、 公 用 的 
通信 服务 、 公 共 数 据 表 示 方 法 。 

e MAE: 对 用 户 不 透明 的 各 种 服务 ， 如 E-mail. 


应 用 层 MA 应 用 层 协议 -= SHE 
表示 层 “上 表示 层 协议 + ”表示 县 
会 话 层 fT 会 话 层 协议 下 会话 层 
传输 层 六 传输 层 协 议 “| ”传输 层 
网 络 层 Mm ER 一 网 络 层 协议 一 ~| 。 网络 层 
数据 链 路 层 一 链 路 层 协议 一 | 通信 子 网 | 一 链 路 层 协议 一 ”| 数据 链 路 层 
物理 层 PR] PHA PHA 


图 2-4 OSI 体系 结构 参考 模型 


2. TCP/IP 体系 结构 

1969 年 ， 美 国 国防 部 高 级 研究 计划 局 (Advanced Research Project Agency, ARPA) 
资助 了 一 个 项 目 ， 该 项 目 通 过 使 用 点 到 点 的 租用 线路 建立 一 个 包 交 换 的 计算 机 网 络 ， 这 
个 网 络 被 称 为 ARPANET， 它 为 早期 网 络 研 究 提供 了 一 个 平台 。ARPA 制定 了 一 套 协议 ， 
指明 了 单个 计算 机 如 何 通 过 网 络 进行 通信 ， 其 中 ， 传 输 控制 协议 (Transmission Control 
Protocol，TCP)〉 和 网 际 协议 (Intemet Protocol, IP) 是 其 中 两 个 主要 的 协议 ， 这 套 协 议 
后 来 被 称 作 TCP/IP 协议 族 。TCP/IP 体系 结构 参考 模型 如 图 2-5 所 示 。 
应 用 层 |< 应 用 层 协议 =| 应 用 层 
传输 层 “| 传输 层 协议 一 | ”传输 层 
网 际 层 AREH 通信 子 网 一 -网际 层 协 议 一 ”网际 层 
网 络 接口 层 一 一 一 一 一 [>] 网 络 接口 层 

图 2-5 TCP/IP 体系 结构 参考 模型 


TCP/IP 体系 结构 的 网 络 接 口 层 可 以 包括 多 种 通信 网 。 如 以 太 网 、 电 话 网 、PPP 和 同 
步 数 字 系 列 〈(Synchronous Digital Hierarchy, SDH) 等 。Intermet 体系 结构 仅 关 注 了 网 络 
层 与 这 些 通信 网 的 接口 ， 如 何 传输 帧 是 通信 网 自己 的 事情 。 

IP 协议 支持 多 种 网 络 技术 互联 以 形成 一 个 逻辑 网 络 ， 提 供 了 主机 到 主机 的 端 到 端 通 
道 。TCP 和 UDP 提供 了 应 用 进程 到 应 用 进程 的 端 到 端 传输 通道 。 

从 用 户 的 角度 看 ， 实 现 异 构 网 络 互联 的 关键 就 是 使 各 种 网 络 类 型 之 间 的 差异 对 自己 
透明 。 在 TCP/IP 协议 族 中 ， 能 够 屏蔽 底层 物理 网 络 的 差异 ， 向 上 提供 一 致 性 的 协议 就 是 
IP Hix. 
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2.2.3 ”网络 协议 及 协议 封装 


一 个 网 络 协议 主要 由 以 下 三 个 要 素 组 成 : 

(1 ) 语法 ， 即 数据 与 协议 控制 信息 (Protocol Control Information, PCI) 的 结构 或 
格式 。 其 中 数据 是 服务 用 户 要 求 传送 的 信息 ; 协议 控制 信息 俗称 首部 ， 是 控制 协议 操作 
的 信息 。 例 如 ， 图 2-6 和 图 2-7 分 别 给 出 了 以 太 网 MAC 帧 的 语法 格式 和 IP 数据 报 的 语 
法 格式 。 

(2) 语义 ， 即 用 于 协调 和 进行 差错 处 理 的 控制 信息 ， 定 义 了 发 送 者 或 接收 者 所 要 完 
成 的 操作 。 如 需要 发 出 何 种 控制 信息 ， 完 成 何 种 动作 以 及 做 出 何 种 应 答 ; 在 何 种 条 件 下 
数据 必须 重 发 或 丢弃 。 

(3) 同步 ， 即 事件 实现 顺序 的 详细 说 明 。 

字 节 6 6 2 46-1500 4 
以 太 网 MAC 帧 | 目的 地 址 源 地 址 ”| 类 型 数据 FCS 


图 2-6 WARP MAC 帧 的 语法 格式 


= oe = 
t | 版 本 | 首部 长 度 | maam 总 长 度 
标识 标志 KRE 

a| FENN 生存 时 间 首部 校 验 和 
部 源 地 址 

目的 地 址 
| 可 选 字段 (长 度 可 变 ) 填充 

数据 部 分 


2-7 了 PP 数据 报 语法 格式 


协议 只 确定 计算 机 各 种 规定 的 外 部 特点 , 不 对 内 部 的 具体 实现 做 任何 规定 。 计算 
机 网 络 软 、 硬 件 厂商 在 生产 网 络 产品 时 ， 是 按照 协议 规定 的 规则 生产 产品 ， 使 生产 出 
的 产品 符合 协议 规定 的 标准 , 但 生产 厂商 选择 什么 电子 元 件 、 使 用 何 种 语言 是 不 受 约 
RA. 

在 计算 机 网 络 中 ， 每 层 都 有 各 自 的 传送 数据 单位 ， 这 个 数据 单位 因为 是 协议 之 间 交 
换 的 ， 故 称 作 协议 数据 单元 (Protocol Data Unit, PDU). N 层 的 协议 数据 单元 记 作 CN) 
协议 数据 单元 。 通 常 应 用 层 的 协议 数据 单元 称 作 用 户 数据 或 用 户 消息 ;传输 层 的 协议 数 
据 单元 称 作 数据 段 〈segment)， 也 称 作 报 文 (message); 网 络 层 的 协议 数据 单元 称 作 分 
组 或 包 (packet); 数据 链 路 层 的 协议 数据 单元 称 作 帧 (frame); 物理 层 协议 数据 单元 称 
VERE (bit). 

层 与 层 之 间 交 换 数据 的 封装 过 程 如 图 2-8 所 示 。 图 2-9 给 出 了 TCP/IP 协议 间 的 封装 
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关系 。 
(N) 首部 (N) 数据 部 分 
CN 协议 数据 单元 
(N) 层 | 
NDE [NDER CD 数据 部 分 
| N-D 协议 数据 单元 | 
图 2-8 层 与 层 间 交换 数据 的 封装 过 程 
首部 | ”应 用 层 数据 T 
IP 地 址 、 
a \ TCP 报 文 
网 络 层 以 上 
首部 
硬件 地 址 、 使 用 下 地 址 
N IP 数 据 报 -| ee 
= 5 数据 链 路 层 
S| 部 尾部 | 。 使 用 硬件 地 址 
- MACH -| 


图 2-9 TCP/IP 协议 间 的 封装 关系 


23 分 组 交换 技术 


2.3.1 分 组 交换 技术 的 概念 


20 世纪 60 年 代 美 苏 冷战 时 期 ， 美 国 国防 部 领导 的 远景 研究 规划 局 ARPA 提出 要 研 
制 一 种 生存 性 〈survivability) 很 强 的 网 络 。 这 种 网 络 的 特点 是 ， 网 络 中 各 个 节点 同等 重 
要 ， 避 免 某 个 节点 成 为 打击 目标 ;在 战争 中 即使 网 络 中 的 某 些 线路 遭 到 破坏 ， 网 络 的 通 
信任 务 仍然 能 够 完成 。 这 种 网 络 就 是 后 来 的 计算 机 通信 网 络 ， 也 称 为 分 组 交换 网 络 。 分 
组 交换 网 的 示意 图 如 图 2-10 所 示 。 


2.3.2 分 组 交换 的 特点 

分 组 交换 的 工作 原理 : 在 发 送 端 先 把 较 长 的 报 文 划分 成 较 短 的 、 固定 长 度 的 数据 段 。 
每 一 个 数据 段 前 面 添加 上 首部 即 构成 分 组 。 每 一 个 分 组 的 首部 都 含有 地 址 等 控制 信息 。 
分 组 交换 网 中 的 路 由 器 根据 收 到 的 分 组 的 首部 中 的 地 址 信息 ， 把 分 组 转发 到 下 一 个 路 由 


器 。 用 这 样 的 存储 转发 方式 ， 分 组 被 送 到 最 终 目的 地 。 接 收 端 收 到 分 组 后 剥 去 首部 ， 把 
收 到 的 数据 恢复 成 为 原来 的 报 文 。 分 组 交换 的 工作 原理 如 图 2-11 所 示 。 
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路 由 器 -XB a 
D 
发 送 的 分 组 
= © 
a E a, 
7 E E 
S a 
Cc m l 
发 送 的 分 组 < 
6 
全 p 
图 2-10 分 组 交换 网 


1110001010101001011110001000001010100001010111101000000110101 


111000101010100 人 1010100001010111| 101000000110101 
|- 一 数据 段 1 一 | 一 一 数据 段 2 一 | 一 一 数据 段 3 一 | 一 一 数据 自 4 一 | 
上 -一 数据 县: 


首部 | 111000101010100 
首部 | 101111000100000 
~ 一 一 一 分 组 


首部 |1010100001010111 
分 组 


首部 | 101000000110101 
分 组 
图 2-11 分 组 交换 的 工作 原理 


24 Internet 的 基本 知识 


2.4.1 Internet 的 构成 
Internet 是 一 个 世界 范围 的 Network of Networks, Networks 意味 着 有 多 个 网 络 , 包括 
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局 域 网 、 城 域 网 和 广域网 。 出 现 多 种 网 络 类 型 的 原因 是 因为 没有 任何 一 种 类 型 的 网 络 可 
以 满足 所 有 需求 。 局 域 网 受 地 理 跨度 限制 ， 广 域 网 不 能 提供 低 费 用 本 地 通信 。 


根据 工作 方式 ,可 以 把 Internet 划分 为 边缘 部 分 和 核心 部 分 。 边 缘 部 分 由 连接 在 Intenet 


上 的 主机 用 户 的 终端 、 服务器， 组 成 。 用 户 直 接 使 用 边缘 部 分 进行 通信 和 资源 共享 。 
核心 部 分 由 大 量 网 络 和 连接 这 些 网 络 的 路 由 器 组 成 。Internet 的 组 成 要 素 如 图 2-12 所 示 。 


全 球 网 络 服务 提供 商 


移动 网 络 


CP 


2-12 Intenet 的 组 成 要 素 


24.2 ”服务 类 别 


1. 面向 连接 的 服务 
面向 连接 的 服务 要 求 通信 双方 在 传输 数据 之 前 首先 建立 连接 。 数 据 传 输 过 程 包括 建 


立 连接 、 传 输 数 据 和 释放 连接 三 个 阶段 。 在 Internet 中 ，TCP 协议 提供 面向 连接 的 服务 ， 
为 应 用 程序 提供 可 靠 的 端 到 端 字 节 流 服 务 。 为 保证 传输 层 服 务 的 可 靠 性 与 稳定 性 ，TCP 
协议 提供 检 错 、 重 传 、 流 量 控制 和 阻塞 控制 等 许多 功能 。 


2. 无 连接 的 服务 
无 连接 的 服务 不 要 求 通信 双方 在 传输 数据 之 前 建立 连接 , 是 “尽力 传递 ”(Best-effort 


Delivery) 的 服务 。 在 Internet H, IP 协议 和 UDP 协议 提供 的 都 是 无 连接 的 服务 。IP 不 
提供 差错 检查 或 者 追踪 ， 它 尽 最 大 努力 使 传输 数据 到 达 目 标 ， 但 是 并 不 提供 任何 服务 质 
量 保证 。 同 理 ，UDP 没有 拥塞 控制 ， 也 不 提供 可 靠 交 付 。 无 连接 的 服务 也 叫 数据 报 服务 ， 
因此 通常 将 IP 协议 的 协议 数据 单元 称 为 IP 数据 报 ， 将 UDP 协议 的 协议 数据 单元 称 为 
UDP 数据 报 。 


2.4.3 IPv4 地 址 


1. 概述 
每 台 连 在 Intemet 上 工作 的 主机 都 应 该 有 相应 的 地 址 标识 。 虽 然 网 卡 地 址 可 以 作为 
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地 址 标识 , 但 是 因为 网 卡 地 址 是 硬件 地 址 ， 地 址 的 编 址 方式 决定 了 它 不 易 管理 。 而 全 地 
址 则 不 同 ， 它 不 但 可 以 确切 地 标识 网 上 的 每 一 个 主机 ， 而 且 易于 管理 。 

Internet 上 的 主机 至 少 拥有 一 个 IP 地 址 。 任 何 两 台 主机 的 他 地 址 不 能 相同 ， 但 是 允 
许 一 台 主 机 拥有 多 个 卫 地 址 。 

IP 地 址 的 划分 经 过 了 三 个 阶段 : 分 类 的 IP 地 址 、 子 网 的 划分 和 无 分 类 编 址 。 分 类 的 
卫 地 址 是 最 基本 的 编 址 方法 ， 相 应 的 标准 协议 在 1981 年 获得 通过 。 子 网 的 划分 是 对 最 
基本 的 编 址 方法 的 改进 ， 其 标准 [RFC 950] 在 1985 年 获得 通过 。 无 分 类 编 址 是 比较 新 的 
编 址 方法 ， 在 1993 年 提出 后 就 很 快 得 到 推广 应 用 。 


2. 分 类 IP 地 址 结构 及 类 别 

IP 地 址 是 由 32 位 二 进 制 数 ， 即 4 个 字 节 组 成 的 ， 它 与 硬件 没有 任何 关系 ， 所 以 也 
称 为 逻辑 地 址 。IP 地 址 由 网 络 号 和 主机 号 两 个 字段 组 成 ， 这 样 的 了 P 地 址 是 两 级 IP 地 址 
结构 ,其 结构 如 图 2-13 Aras. IP 地 址 的 结构 使 我 们 可 以 在 Internet 上 很 方便 地 进行 寻 址 。 
寻 址 时 先 按 IP 地 址 中 的 网 络 号 (net-id) 找到 网 络 ， 再 按 主 机 号 (host-id) 找到 主机 。 所 
以 IP 地址 不 只 是 一 台 计 算 机 的 代号 , 它 同 时 指出 了 该 计算 机 所 属 的 网 络 ， 并 指出 了 该 计 
算 机 是 此 网 络 上 的 哪 台 主机 。 

比特 31 0 
网 络 号 (net-id) 主机 号 (host-id) | 
2-13 ”全 地 址 结构 


考虑 到 有 的 网 络 拥 有 很 多 主机 ,而 有 的 网 络 上 的 主机 则 很 少 ,因此 为 了 便于 对 也 地 
址 进行 管理 ， 将 P 地 址 划分 成 五 类 ， 即 A 类 到 E 类， 如 图 2-14 所 示 。 目 前 大 量 使 用 的 
全 地 址 是 A、B、C 三 类 。 当 某 单位 申请 到 一 个 P 地 址 时 ， 实 际 上 只 是 获得 了 一 个 网 络 
号 ， 具 体 的 各 个 主机 号 由 本 单位 自行 分 配 。 

比特 31 23 15 7 0 

A 类 |0 net-id | hos t-id 


B 类 | 10 net-id hos t-id 


C 类 | 100 net-id hos t-id 
D 类 | 1110 组 播 地 址 
E 类 | 11110 保留 为 以 后 使 用 | 


图 2-14 外地 址 的 类 型 


另外 ，IP 定义 了 一 套 特殊 地 址 格式 ， 称 为 保留 地 址 。 这 些 特殊 地 址 包括 网 络 地 址 ， 
直接 广播 地 址 ， 有 限 广播 地 址 ， 本 机 地 址 。 
e 网 络 地 址 : 在 P 地 址 中 当主 机 号 为 全 0 时 ， 可 用 来 指明 单个 网 络 的 地 址 。 它 不 
会 出 现在 目的 地 址 中 。 如 10.0.0.0 (A 类 )，175.89.0.0 (B Æ), 201.123.45.0 (C 
类 )。 
。 直接 广播 地 址 : 在 IP 地 址 中 当主 机 号 为 全 1、 网 络 号 不 为 0 时 ， 表 示 一 个 物理 网 
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络 上 的 所 有 主机 。 它 不 会 出 现在 源 地 址 中 。 在 这 种 情况 下 ， 包 的 一 次 发 送 将 到 达 
一 个 特定 网 络 上 所 有 的 计算 机 。 如 201.114.64.255 是 网 络 201.114.64.0 的 广播 
地 址 。 

e 有 限 广播 地 址 : IP 地 址 的 32 位 都 为 1 时 为 有 限 广播 地 址 。 它 不 会 出 现在 源 地 址 
中 。 有 限 广播 指 在 一 个 本 地 物理 网 〈 该 主机 所 在 的 网 络 ) 的 一 次 广播 。 在 系统 启 
动 时 ， 计 算 机 还 不 知道 自己 所 在 的 网 络 号 ， 便 可 将 有 限 广播 地 址 作为 目的 地 址 来 
发 送 TP 数据 报 。 

e 本 机 地 址 : “4 IP 地址 的 32 位 都 为 0 时 为 本 机 地 址 。 它 不 会 出 现在 目的 地 址 中 。 
当 计 算 机 拨号 上 网 时 , 主机 需要 去 Internet 服务 提供 商 (Internet Service Provider, 
ISP) 获得 一 个 人 P 地 址 。 但 是 当 使 用 启动 协议 时 ，TCP/IP 协议 族 仍然 要 求 使 用 合 
YAY IP 源 地 址 。 为 了 处 理 这 一 情况 ， 计 算 机 使 用 本 机 地 址 作为 其 源 地 址 。 


3. 子 网 及 子 网 掩 码 

PAA IP 地 址 有 其 缺点 : 第 一 ， 卫 地 址 空间 的 利用 率 有 时 很 低 ; 第 二 ,给 每 一 个 物理 
网 络 分 配 一 个 网 络 号 会 使 路 由 表 变 得 太 大 ， 导 致 网 络 性 能 变 坏 。 

在 他 地 址 中 增加 一 个 subnet-id 字段 ,使 两 级 的 他 地 址 结构 变 为 三 级 的 他 地 址 结构 ， 
这 种 做 法 称 为 划分 子 网 (Subnetting)。 划 分 子 网 是 单位 内 部 的 事情 ， 单 位 对 外 仍然 表现 
为 没有 划分 子 网 的 网 络 。 子 网 号 subnet-id 是 从 两 级 IP 的 主机 号 部 分 “借用 ”的 若干 位 。 
Net-id Subnet-id Host-id 
FK| 1 11111111111111111111111|100000000 


2-15 ”三 级 他 地 址 的 类 型 及 子 网 掩 码 


每 个 子 网 都 有 自己 的 网 络 地 址 。 当 外 面 的 分 组 进入 到 本 单位 网 络 后 ， 本 单位 的 路 由 
器 需 把 分 组 转发 到 确定 的 子 网 上 。 此 时 ， 需 要 利用 子 网 掩 码 计算 子 网 的 网 络 地 址 。 子 网 
掩 码 的 构成 如 图 2-15 所 示 , Net-id 和 Subnet-id 部 分 所 有 位 设置 为 1，Host-id 部 分 所 有 位 
设置 为 0。 将 子 网 掩 码 和 分 组 中 目的 IP 地 址 进行 逐 位 “与 ”运算 ， 所 得 的 结果 就 是 子 网 
的 网 络 地 址 。 
例 2-1 已 知 IP 地 址 为 202.112.64.19， 子 网 掩 码 为 255.255.255.240， 则 IP 地 址 
202.112.64.19 的 二 进 制 形 式 为 
11000011 01110000 01000000 00010011 (21) 
子 网 掩 码 255.255.240.0 的 二 进 制 形式 为 
11111111 11111111 11111111 11110000 €2:2) 
式 (2-1) 和 式 (2-2) 进行 逐 位 “与 ”运算 ， 得 出 网 络 地 址 为 
11000011 01110000 01000000 00010000 (2-3) 
该 网 络 地 址 的 十 进 制 形式 为 


202.112.64.16 (2-4) 


4. 无 分 类 编 址 (CIDR) 
在 变 长 子 网 掩 码 (Variable Length Subnet Mask, VLSM) 提出 之 前 ， 一 个 划分 子 网 
的 网 络 中 所 有 子 网 使 用 的 都 是 一 个 相同 的 子 网 掩 码 。1987 年 ，[RFC 1009] 提 出 在 一 个 划 
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分 子 网 的 网 络 中 可 同时 使 用 几 个 不 同 的 子 网 掩 码 ， 即 根据 子 网 的 大 小 使 用 VLSM， 虽 在 
进一步 提高 P 地 址 资源 的 利用 率 。 这 种 方法 可 对 IP 地 址 按 需 分 配 ， 子 网 上 主机 多 就 多 
分 配 IP 地 址 ， 子 网 上 主机 少 就 少 分 配 IP 地 址 。 
在 VLSM 的 基础 上 又 进一步 研究 出 无 分 类 编 址 方法 ， 即 无 分 类 域 间 路 由 选择 
(Classless Inter-Domain Routing, CIDR). CIDR 两 级 编 址 的 记 法 如 图 2-16 所 示 。 
比特 31 0 
IP 地 址 Network-prefix Host-id 


图 2-16 CIDR 二 级 编 址 结构 


CIDR 的 表示 方法 为 在 P 地 址 后 面 加 上 一 个 斜 线 “/”， 斜 线 后 标注 网 络 前 级 所 占 的 
比特 数 。 如 下 地址 128.14.32.0/20 隐 含 地 指出 128.14.32.0 的 掩 码 是 255.255.240.0。 
CIDR 将 网 络 前 缀 都 相同 的 连续 IP 地 址 组 成 “CIDR 地 址 块 ”。 一 个 CIDR 地 址 块 可 
以 表示 很 多 地 址 。 这 种 地 址 的 聚合 常 称 为 路 由 聚合 ， 它 使 得 路 由 表 中 的 项 目 大 大 减少 。 
另外 IP 地址 还 分 为 全 球 地 址 和 内 网 地 址 / 专 网 地 址 。RFC1918 指明 的 内 网 地 址 / 专 网 
地 址 是 : 
10.0.0.0 到 ”10.255.255.255 ”或 记 为 10.0.0.0/8 
172.16.0.0 ”到 ”172.31.255.255 ”或 记 为 ”172.16.0.0/12 
192.168.0.0 到 192.168.255.255 ”或 记 为 ”192.168.0.0/16 


5. IP 地 址 与 物理 地 址 

在 卫 数 据 报 的 首部 既 有 源 P 地 址 也 有 目的 IP 地 址 ， 但 是 在 通信 中 路 由 器 只 根据 目 
的 IP 地 址 进行 路 由 选择 。 一 个 路 由 器 至 少 有 两 个 IP 地 址 和 两 个 MAC 地 址 。 路 由 器 的 
IP 地 址 不 会 出 现在 IP 数据 报 中 。 

物理 网 络 的 数据 链 路 层 看 到 的 只 是 MAC ti. IP 数据 报 被 封装 在 MAC 帧 中 。 在 不 
同 的 网 络 上 传送 数据 时 , MAC 帧 的 首部 会 发 生变 化 。 IP 地 址 和 硬件 地 址 的 关系 如 图 2-17 
所 示 。 


2.4.4 端口 的 概念 


端口 是 传输 层 的 概念 。 端 口号 (Port Number) 是 按照 应 用 进程 的 功能 对 应 用 进程 实 
行 的 标识 。 端 口号 的 长 度 为 16 位 。 端 口号 分 为 两 类 ， 一 类 是 熟知 端口 号 ， 其 数值 一 般 为 
0 一 1023。 当 一 种 新 的 应 用 服务 程序 出 现时 ， 必 须 为 它 指派 一 个 熟知 端口 。 例 如 ，HTTP 
协议 对 应 的 端口 号 是 80, SMTP 协议 对 应 的 端口 号 是 25，FTP 协议 对 应 的 端口 号 是 21 。 
另 一 类 则 是 一 般 端 口 ， 用 来 随时 分 配给 请 求 应 用 服务 的 客户 进程 。 

每 台 主 机 对 端口 号 实行 独立 编号 ， 因 此 端口 号 只 具有 本 地 意义 。 如 主机 A 和 主机 B 
上 都 可 以 拥有 各 自 的 端口 号 为 5001 的 进程 。 在 通信 过 程 中 ， 采 用 端口 号 和 IP 地 址 绑 定 
使 用 。 端 口号 和 下 地 址 绑 定 后 形成 的 标识 称 为 插口 Socket)， 表 示 为 

Socket= (IPAddress : Port Number) 
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2-17 IP 地 址 和 硬件 地 址 的 关系 


TCP 是 面向 连接 的 传输 层 协议 。TCP 的 连接 是 一 对 端点 的 连接 ， 插 口 清晰 地 标识 出 这 条 
连接 的 源 地 址 和 目的 地 址 。 

端口 号 对 应 主机 中 的 一 个 应 用 进程 ， 编 程 语言 通常 用 port 表示 。 例如 , 一 个 TCP 连 
接 表 示 为 

TCP Connection :: = (Socket 1, Socket 2) = ((IP1: Portl), (IP2: Port2)) 
其 中 ，IP1 表示 源 主机 IP MALE, Porti 表示 该 主机 上 的 一 个 应 用 进程 ，IP2 表示 目的 主机 
IP 地 址 ，Port2 表示 目的 主机 上 的 一 个 应 用 进程 。 例 如 ,一 个 客户 端 和 某 一 邮件 服务 器 的 
TCP 连接 表示 为 
TCP Connection :: = ((203.114.112.3:5001), (201.112.105.25:25))。 


4 A 


ar 填空 题 

1. 主机 的 IPv4 的 地 址 长 度 为 位 ， 主 机 的 MAC 地 址 长 度 为 位 。 

2. 端口 号 长 度 是 位 ， 插 口号 的 长 度 为 位 。 

3. 一 个 主机 的 IP 地 址 为 211.013.25.233， 所 在 子 网 的 子 网 掩 码 为 255.255.255.224, 


该 主机 所 在 子 网 的 网 络 地 址 为 ， 该 子 网 的 广播 地 址 为 
4. 路 由 器 至 少 拥 有 IP 地 址 。 
5. TCP 是 连接 的 、 提 供 可 靠 的 协议 。 


6. 228.141.32.0/23 网 络 前 缀 为 位 ， 掩 码 是 
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二 、 简 答题 

. 简 述 分 组 交换 的 原理 。 

. 简 述 面向 连接 服务 和 无 连接 服务 的 优 缺点 。 
. 简 述 端口 在 通信 中 的 作用 。 

. 简 述 一 个 TCP 连接 的 过 程 。 

. 简 述 缺 省 子 网 掩 码 的 作用 。 

. 简 述 路 由 器 转发 一 个 卫 数据 报 的 过 程 。 

. 简 述 本 机 地 址 的 作用 。 

. 简 述 路 由 器 的 他 地 址 和 网 卡 地 址 的 对 应 关系 。 
9. 简 述 内 网 地 址 的 作用 。 

10. 简 述 路 由 聚合 的 含义 。 


oN NN WN 一 
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Internet 协议 的 安全 性 


TCP/IP 协议 族 在 诞生 之 初 ， 网 络 中 的 用 户 彼此 之 间 被 认为 是 互相 信任 的 ， 没 有 提供 
任何 安全 措施 。 现今 ， 已 不 能 认为 网 络 中 的 用 户 是 互相 信任 的 ， 不 能 认为 网 络 是 安全 的 。 


34 Internet 协议 概述 


Internet 协议 的 主要 协议 及 其 层次 关系 如 图 3-1 所 示 。 


| 
| 
| 
1 
应 用 层 | 
| 
l 
| 
I 
1 


OSPF 


网 际 层 


图 3-1 TCP/IP 协议 族 不 同 层次 划分 示意 图 


5 网际 层 协议 


3.2.1 IP 协议 


1. 概述 
网 际 协议 (Intemet Protocol, IP) 是 TCP/IP 协议 族 的 核心 ， 也 是 网 际 层 中 最 重要 的 
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协议 。 卫 数据 报 构成 了 TCP/IP 协议 族 的 基础 。 典 型 的 IP 数据 报 有 几 百 个 字 节 ， 其 中 首 
部 占 20~60 字 节 ， 其 余 为 数据 净 荷 部 分 。 

IP 层 接收 由 更 低层 (例如 网 络 接口 层 ) 发 来 的 数据 包 ， 对 数据 包 进行 处 理 后 交付 到 
HR (TCP 或 UDP 协议 ); AR, IP 层 也 把 从 TCP 或 UDP 协议 来 的 数据 包 传 送 到 更 
低层 。IP 采用 尽 最 大 努力 交付 的 服务 ， 是 一 种 不 可 靠 的 无 连接 数据 报 协议 。 每 个 卫 数据 
报 独立 路 由 ， 各 个 数据 报 可 能 沿 不 同 路 径 由 发 送 方 传送 到 接收 方 ， 因 此 ， 卫 无 法 确认 数 
据 报 是 否 丢失 、 失 序 或 延迟 到 达 。 另 外 ， 虽 然 IP 首部 中 存在 校 验 位 ， 但 此 校 验 位 只 用 于 
检测 IP 数据 报 首部 的 正确 性 ， 并 没有 使 用 任何 机 制 保证 数据 净 荷 传输 的 正确 性 ， 因 此 ， 
无 法 确认 P 数据 报 是 否 损坏 。 较 高 层 的 协议 (如 TCP) 负责 处 理 这 些 问题 ， 以 便 为 应 用 
程序 提供 一 条 可 靠 的 网 络 通信 链 路 。 


2. IP 协议 的 安全 问题 及 防护 措施 

IP 协议 存在 一 系列 典型 的 安全 问题 。 

(1) P 数据 报 在 传递 过 程 中 易 被 攻击 者 监听 、 窃 取 。 此 种 攻击 是 一 种 被 动 的 攻击 方 
式 ， 攻 击 者 并 不 改变 IP 数据 报 的 内 容 ， 但 可 截取 IP 数据 报 ， 解 析 数 据 净 荷 ， 从 而 获得 
数据 内 容 。 这 种 类 型 的 攻击 很 难 被 检测 ， 因 为 攻击 过 程 并 不 影响 IP 数据 报 的 正确 传递 。 
针对 这 种 攻击 的 方法 是 对 IP 数据 报 进行 加 密 。 

(2) 由 于 IP 层 并 没有 采用 任何 机 制 保证 数据 净 荷 传输 的 正确 性 ， 攻 击 者 可 截取 IP 
数据 报 ， 修 改 数据 报 中 的 内 容 后 ， 将 修改 结果 发 送 给 接收 方 。 针 对 这 种 攻击 的 方法 是 对 
IP 数据 报 净 荷 部 分 实行 完整 性 检测 机 制 。 接 收 方 在 收 到 IP 数据 报时 , 可 先 应 用 完整 性 检 
测 机 制 检测 数据 报 的 完整 性 ， 从 而 保证 收 到 的 TP 数据 报 在 传输 过 程 中 未 被 恶意 自 改 。 

(3) 高 层 的 TCP 和 UDP 服务 在 接收 IP 数据 报时 ， 通 常 假 设 数据 报 中 的 源 地 址 是 有 
效 的 。 FKE, IP 层 不 能 保证 IP 数据 报 一 定 是 从 源 地 址 发 送 的 。 任 意 一 台 主 机 都 可 以 发 
送 具 有 任意 源 地 址 的 IP 数据 报 。 攻 击 者 可 伪装 成 另 一 个 网 络 主机 ， 发 送 含有 伪造 源 地 址 
的 数据 包 以 欺骗 接收 者 。 此 种 攻击 称 为 P 欺骗 攻击 。 针 对 此 种 攻击 可 以 通过 源 地 址 鉴别 
机 制 加 以 防御 。 一 般 来 说 ， 认 证 需要 采用 高 层 协议 中 的 安全 机 制 来 实现 。 

(4) IP 数据 报 在 传递 过 程 中 ， 如 果 数 据 报 太 大 ， 该 数据 报 就 会 被 分 段 。 也 就 是 说 ， 
大 的 下 数据 报 会 被 分 成 两 个 或 多 个 小 数据 报 , 每 个 小 数据 报 都 有 自己 的 首部 , 但 其 数据 
净 荷 仅 是 大 数据 报 净 荷 的 一 部 分 。 每 个 小 数据 报 可 以 经 由 不 同 的 路 径 到 达 目 的 地 。 在 传 
输 过 程 中 ， 每 个 小 数据 报 可 能 会 被 继续 分 段 。 当 这 些小 数据 报到 达 接收 方 时 ， 它 们 会 被 
重组 到 一 起 。 按 照 协 议 规 则 ， 中 间 节 点 不 能 对 小 数据 报 进行 拼装 组 合 。 一 般 来 说 ， 包 过 
滤器 完成 IP 数据 报 的 分 段 和 重组 过 程 。 然 而 ， 正 是 由 于 P 数据 报 在 传输 过 程 中 要 经 历 
被 分 段 和 重组 的 过 程 ， 攻 击 者 可 在 包 过 滤器 中 注入 大 量 病态 的 小 数据 报 ， 来 破坏 包 过 滤 
器 的 正常 工作 。 当 重要 的 信息 被 分 成 两 个 人 P 数据 报时 , 过 滤器 可 能 会 错误 地 处 理 数据 报 ， 
或 者 仅 传输 第 2 个 IP 数据 报 。 更 糟 的 是 ， 当 两 个 重 倒 的 P 数据 报 含 有 不 同 的 内 容 时 ， 
重组 规则 并 不 提示 如 何 处 理 这 两 个 卫 数据 报 。 许 多 防火 墙 能 够 重组 分 段 的 IP 数据 报 ， 
以 检查 其 内 容 。 

(5) 使 用 特殊 的 目的 地 址 发 送 IP 数据 报 也 会 引入 安全 问题 。 如 发 送 目的 地 址 是 直接 
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广播 地 址 的 IP 数据 报 , 发 送 这 样 的 数据 包 是 非常 危险 的 ， 因 为 它们 可 以 很 容易 地 被 用 来 
攻击 许多 不 同类 型 的 主机 。 许 多 攻击 者 已 将 定向 广播 作为 一 种 网 络 攻击 手段 。 其 实 许多 
路 由 器 具有 阻止 发 送 这 类 数据 包 的 能 力 ， 因 此 ， 强 烈 建议 网 络 管理 员 在 配置 路 由 器 时 ， 
一 定 要 启用 路 由 器 的 这 个 功能 。 


3.2.2 ARP 协议 


1. 概述 

在 通常 情况 下 ， 当 我 们 访问 一 台 机 器 的 时 候 一 定 可 以 知道 它 的 逻辑 地 址 ， 而 物理 地 
址 就 不 一 定 知道 。 如 果 不 知 道 物理 地 址 则 不 能 把 网 络 层 的 数据 包 封 装 成 MAC 帧 ， 完 不 
成 通信 。ARP 协议 正 是 为 了 解决 这 个 问题 而 设置 的 。 

在 每 台 主 机 上 都 设置 有 一 个 所 在 网 段 上 的 各 主机 和 路 由 器 的 IP 地 址 到 硬件 地 址 的 
映射 表 , 也 称 为 ARP 高 速 缓存 。 在 数据 发 送 方 , 当 网 络 层 的 数据 报 要 封装 成 MAC 帧 时 ， 
首先 在 高 速 缓存 中 查看 有 无 该 数据 报 首部 的 目的 地 址 所 对 应 的 硬件 地 址 ， 若 有 ， 则 将 该 
硬件 地 址 写 入 MAC 帧 的 目的 地 址 中 ， 完 成 数据 报 的 封装 。 若 无 ，ARP 协议 则 在 本 局 域 
网 上 广播 发 出 一 个 ARP 请 求 分 组 。 在 ARP 请 求 分 组 中 ， 发 送 方 的 卫 地 址 和 发 送 方 硬件 
地 址 ， 以 及 目标 IP 地 址 都 是 应 该 写 入 已 知 的 数据 ， 要 寻找 的 目标 硬件 地 址 写 入 全 0。 当 
该 请 求 分 组 到 达 每 一 个 机 器 上 时 , 每 一 台 机 器 都 要 拿 自己 的 人 P 地 址 和 请 求 分 组 中 的 目标 
IP 地 址 进行 比较 ， 如 果 不 同 则 不 做 任何 动作 ; 若 相同 则 发 送 一 个 ARP 相应 分 组 给 请 求 
方 ( 这 里 不 再 使 用 广播 ， 而 是 单 播 )。 在 相应 分 组 中 发 送 方 写 明 了 自己 的 硬件 地 址 。 当 这 
一 通信 过 程 完成 时 ， 通 信 双 方 都 要 对 自己 的 ARP 高 速 缓存 进行 修改 ， 添 加 上 一 条 记录 。 


2. ARP 协议 的 安全 问题 及 防护 措施 

通过 上 述 ARP 协议 的 工作 原理 可 知 ， 一 名 黑客 只 要 能 把 他 的 主机 成 功 插入 某 个 网 
段 , 这 台 主 机 就 能 够 接收 到 所 在 网 段 的 ARP 请 求 分 组 , 从 而 获知 该 网 段 上 主机 了 P 和 MAC 
地 址 的 对 应 关系 。 从 这 里 也 可 以 看 出 ，ARP 攻击 仅仅 在 内 网 进行 ， 它 无 法 对 外 网 (互联 
网 、 非 本 区 域内 的 局 域 网 ) 进行 攻击 。 局 域 网 中 有 一 台 主 机 C， 其 MAC 地 址 为 
00-aa-00-F2-c8-04， 现 在 假设 它 感 染 了 ARP 木马 。 那么 主机 C 将 会 向 某 主机 A 发 送 一 
个 伪造 的 ARP 响应 ， 告 知 主机 A: 主机 B AY IP 地 址 192.168.10.8 对 应 的 MAC 地 址 是 
00-aa-00-F2-c8-04〈 其 实 是 主机 C 的 MAC 地 址 ) ， 于 是 ， 主 机 A 将 这 个 对 应 关系 写 入 
自己 的 ARP 缓存 表 中 。 以 后 当主 机 A 向 主机 B 发 送 数据 时 ， 都 会 将 本 应 发 往 主机 也 的 
数据 发 送 给 攻击 者 〈 主 机 C) 。 同 样 地 ， 如 果 攻 击 者 向 主机 B 也 发 送 一 个 伪造 的 ARP 
响应 , 告诉 主机 B: 主机 A AY IP Hatt 192.168.0.1 对 应 的 MAC 地 址 是 00-aa-00-F2-c8-04， 
主机 B 也 会 将 数据 发 送 给 攻击 者 。 至 此 攻击 者 就 控制 了 主机 A 和 主机 B 之 间 的 流量 , 他 
可 以 选择 被 动 地 监测 流量 ， 获 取 密 码 和 其 他 涉 密 信息 ， 也 可 以 伪造 数据 ， 改 变 主 机 A 和 
主机 B 之 间 的 通信 内 容 。 这 种 攻击 称 为 ARP 欺骗 。 

为 了 解决 ARP 攻击 问题 ， 可 以 在 网 络 中 的 交换 机 上 配置 802.1x 协议 。IEEE 802.1x 
是 基于 端口 的 访问 控制 协议 ， 它 对 连接 到 交换 机 的 用 户 进行 认证 和 授权 。 在 交换 机 上 配 
置 802.1x 协议 后 ， 攻 击 者 在 连接 交换 机 时 需要 进行 身份 认证 (结合 MAC、 端 口 、 账 户 、 
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VLAN 和 密码 等 ), 只 有 通过 认证 后 才能 向 网 络 发 送 数据 。 攻击 者 未 通过 认证 就 不 能 向 网 
络 发 送 伪造 的 ARP 报 文 。 

另外 ， 建 立 静态 ARP 表 ， 也 是 一 种 有 效 地 抵抗 ARP 攻击 的 方法 ， 而 且 对 系统 影响 
不 大 。 缺 点 是 破坏 了 动态 ARP 协议 。 


3.2.3 ICMP 协议 


1. 概述 

Internet 控制 报 文 协议 (Intemet Control Message Protocol, ICMP) 是 一 个 重要 的 错 
误 处 理 和 信息 处 理 协议 ， 运 行 在 网 际 层 。 它 可 以 用 来 通知 主机 到 达 目 的 地 的 最 佳 路 由 ， 
报告 路 由 故障 ， 或 者 因 网 络 故障 中 断 某 个 连接 。ICMP 的 主要 功能 之 一 是 向 IP 节点 发 送 
一 个 简单 消息 ， 并 将 消息 回 显 到 发 送 主机 。 因 而 ， 它 可 以 提供 目的 节点 的 可 达 性 和 到 达 
目的 节点 所 采用 的 传输 路 径 等 信息 ， 在 网 络 监控 和 故障 诊断 方面 具有 重要 作用 ， 是 网 络 
管理 员 常 用 的 两 个 监控 工具 一 一 Ping 和 Traceroute 的 重要 组 成 部 分 。 

ICMP 提供 了 IP 路 由 和 交付 问题 的 关键 反馈 信息 ， 以 及 重要 的 卫 诊断 和 控制 能 力 ， 
可 用 于 网 络 的 可 达 性 分 析 、 拥塞 控制 、 路 由 优化 和 超时 错误 报告 等 方面 [Jeffrey 等 2014]。 
ICMP 最 典型 的 用 途 是 差错 报告 。 例 如 ， 当 某 个 网 关 发 现 传输 错误 时 ， 该 协议 会 立即 向 
信 源 主机 发 送 ICMP RX, 报告 出 错 信息 , 让 信 源 主机 采取 相应 处 理 措施 。 在 运行 Telnet、 
FTP 或 HTTP 会 话 时 ， 通 常会 遇 到 如 “目的 网 络 不 可 达 ” 之 类 的 错误 报 文 ， 这 些 报 文 就 
是 在 ICMP 中 产生 的 。 

IPv6 有 新 版 本 的 ICMP. ICMPv6 与 ICMPv4 的 很 多 消息 是 相似 的 ， 如 Echo 请 求 与 
应 答 消息 、 路 由 请 求 和 公告 等 ， 但 ICMPv6 也 新 增 了 一 些 消 息 ， 如 路 由 器 重 编号 等 。 


2. ICMP 协议 的 安全 问题 及 防护 措施 

ICMP 能 够 提供 有 关 网 络 配置 和 连接 状态 等 信息 ， 为 网 络 监控 和 故障 诊断 提供 了 重 
要 依据 。 然 而 ， 黑 客 也 能 够 利用 ICMP 提供 的 这 些 信息 ， 进 行 各 种 网 络 攻击 和 信息 侦察 。 
例如 ， 一 些 黑客 会 滥用 ICMP 来 中 断 某 些 连接 ， 网 上 流行 的 nuke.c 黑客 程序 就 采用 了 这 
类 攻击 方式 。 此 外 ，ICMP 还 存在 一 些 典 型 的 安全 问题 。 

(1) ICMP 重 定向 攻击 。ICMP 可 以 用 来 对 主机 之 间 的 消息 进行 重 定向 ,同样 ， 黑客 
也 能 够 用 ICMP 对 消息 进行 重 定向 , 进而 使 得 目标 机 器 遭受 连接 劫持 和 拒绝 服务 等 攻击 。 
一 般 来 说 ， 重 定向 消息 应 该 仅 由 主机 执行 ， 而 不 是 由 路 由 器 来 执行 。 仅 当 消 息 直接 来 自 
路 由 器 时 ， 才 由 路 由 器 执行 重 定 向 。 然 而 ， 网 络 管理 员 有 时 可 能 会 使 用 ICMP 创建 通 往 
目的 地 的 新 路 由 。 这 种 非常 不 谨慎 的 行为 最 终 会 导致 非常 严重 的 网 络 安全 问题 。 

(2) ICMP 路 由 器 发 现 攻 击 [James 等 2014]。 在 进行 路 由 发 现时 ，ICMP 并 不 对 应 答 
方 进行 认证 ， 这 使 得 它 可 能 遭受 严重 的 中 间 人 人 攻击。 例如， 在 正常 的 路 由 器 响应 ICMP 
询问 之 前 ， 攻 击 者 可 能 会 假冒 正常 的 路 由 器 ， 使 用 伪造 的 响应 信息 应 答 ICMP 询问 。 由 
于 在 路 由 发 现 的 过 程 中 ，ICMP 并 不 对 应 答 方 进行 认证 ， 因 此 接收 方 将 无 法 知道 这 个 响 
应 是 伪造 的 。 

G) 防火 墙 穿越 攻击 。 通 过 防火 墙 穿越 攻击 技术 (Firewalking)， 攻 击 者 能 够 穿越 某 
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个 防火 墙 的 访问 控制 列表 和 规则 集 ， 进 而 确定 该 防火 墙 过 滤 的 内 容 和 有 具体 的 过 滤 方 式 。 
尽管 防火 墙 面临 着 启用 ICMP 所 带 来 的 风险 ， 但 在 防火 墙 上 封 堵 所 有 的 ICMP 消息 并 不 
妥当 。 这 是 因为 主机 常 采 用 一 种 称 为 Path MTU 的 机 制 ， 来 测试 究竟 多 大 的 数据 包 可 以 
不 用 分 段 发 送 ， 而 这 种 测试 需要 依赖 于 地 址 不 可 达 的 ICMP 数据 包 穿 过 防火 墙 。 


3.2.4 IGMP 协议 


1. 概述 

IGMP (Internet Group Management Protocol) 作为 因特网 组 播 管理 协议 ， 是 TCP/IP 
协议 族 中 的 重要 协议 之 一 ， 所 有 IP 组 播 系统 (包括 主机 和 路 由 器 〉 都 需要 支持 IGMP。 
IGMP 运行 于 主机 和 组 播 路 由 器 之 间 ， 用 来 在 IP 主机 和 与 其 直接 相 邻 的 组 播 路 由 器 之 间 
建立 、 维 护 组 播 组 成 员 关 系 。 到 目前 为 止 , IGMP 共有 三 个 版 本 , 即 IGMP v1、v2 和 v3。 

IGMP 实现 的 主要 功能 包括 : 主机 通过 IGMP 通知 路 由 器 希望 接收 或 离开 某 个 特定 
组 播 组 的 信息 ; 路 由 器 通过 IGMP 周期 性 地 查询 局 域 网 内 的 组 播 组 成 员 是 否 处 于 活动 状 
态 ， 实 现 所 连 网 段 组 成 员 关 系 的 收集 与 维护 。 


2. IGMP 协议 的 安全 问题 及 防护 措施 

IGMP 组 播报 文 在 IP 数据 包 的 基础 上 封装 了 组 播 地 址 等 信息 ， 鉴 于 组 播报 文 基于 
UDP 进行 传输 并 缺少 用 户 认证 措施 ,网 络 中 任何 主机 都 可 以 向 组 播 路 由 器 发 送 IGMP 包 ， 
请 求 加 入 或 离开 ， 导 致 非法 用 户 很 容易 加 入 组 播 组 ， 窃 听 组 播 数据 或 者 发 动 其 他 针对 计 
算 机 网 络 系统 的 攻击 。 目 前 ， 针 对 IGMP 协议 的 攻击 主要 有 以 下 几 种 : 

(1) 利用 查询 报 文 攻击 。 利用 具有 较 低 数值 的 IP 地 址 路 由 器 发 送 伪造 的 查询 报 文 ， 
由 当前 的 查询 方 转变 为 响应 查询 请 求 ， 并 且 不 再 发 出 查询 报 文 。 攻 击 产生 的 效果 包括 ; 
组 播 路 由 器 对 子 网 内 各 主机 的 加 入 请 求 不 做 任何 响应 ， 将 屏蔽 合法 用 户 ; 组 播 路 由 器 对 
子 网 内 主机 撤离 报 文 不 做 响应 ， 造 成 该 子 网 内 不 存在 组 播 用 户 ， 但 是 ， 组 播 数据 又 不 断 
向 该 子 网 组 播 路 由 器 发 送 请 求 报 文 ， 浪 费 有 限 的 带宽 和 资源 。 

(2) 利用 离开 报 文 进行 DOS 攻击 。 子 网 内 非法 用 户 通过 截获 某 个 合法 用 户 信息 来 
发 送 伪造 的 IGMP 离开 报 文 , 组 播 路 由 器 接收 到 报 文 后 误 认为 该 合法 用 户 已 经 撤离 该 组 
播 组 ， 则 不 再 向 该 用 户 发 送 询问 请 求 ， 导 致 该 合法 用 户 不 能 再 接收 到 组 播 数据 包 ， 造 成 
拒绝 服务 攻击 。 

G) 利用 报告 报 文 攻击 。 非 法 用 户 伪装 报告 报 文 ， 或 截获 合法 用 户 的 报告 报 文 向 组 
播 路 由 器 发 送 伪造 报 文 ， 使 组 播 路 由 器 误 以 为 有 新 用 户 加 入 ， 于 是 将 组 播 树 扩展 到 非法 
用 户 所 在 的 子 网 ， 此 后 非法 用 户 就 可 以 接收 到 来 自 组 播 路 由 的 组 播报 文 ， 并 分 析 该 报 文 
以 展开 新 的 攻击 。 

IGMP 安全 性 的 基本 要 求 是 只 有 注册 的 合法 主机 才能 够 向 组 播 组 发 送 数据 和 接收 组 
播 数据 。 但 是 ，IP 组 播 很 难保 证 这 一 点 。 首 先 ，IP 组 播 使 用 UDP， 网 络 中 任何 主机 都 
可 以 向 某 个 组 播 地 址 发 送 UDP 包 ; 其 次 ，Intemet 缺少 对 于 网 络 层 的 访问 控制 ， 组 成 员 
可 以 随时 加 入 和 退出 组 播 组 ， 最 后 ， 采 用 明文 传输 的 IGMP 组 播报 文 很 容易 被 窃听 、 冒 
充 和 算 改 ， 使 得 组 播 安全 性 问题 仍然 是 一 个 技术 难点 。 
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针对 以 上 安全 问题 ， 一 种 有 效 的 安全 增强 措施 是 利用 IGMP v3 的 扩展 性 在 组 播报 文 
中 未 使 用 的 辅助 字段 部 分 增加 认证 信息 ， 即 在 每 个 首次 加 入 组 播 的 报 文中 添加 关联 主机 
身份 的 认证 信息 , 组 播 路 由 器 接收 到 认证 信息 并 通过 公 钥 密码 技术 实现 成 员 身份 的 认证 ， 
随后 ， 在 发 送 给 组 播 成 员 的 查询 信息 中 添加 成 功 /失败 标识 的 认证 信息 。 通 过 此 认证 机 制 
来 保证 IGMP 的 安全 运行 。 


3.2.5 OSPF 协议 


1. 概述 

由 于 Intemet 规模 太 大 ， 所 以 常 把 它 划 分 成 许多 较 小 的 自治 系统 (Autonomous 
System，AS)。 自 治 系统 内 部 的 路 由 协议 称 为 内 部 网 关 协 议 ， 自 治 系统 之 间 的 协议 称 为 
外 部 网 关 协 议 。 常 见 的 内 部 网 关 协 议 有 RIP 协议 和 OSPF 协议 ; 外 部 网 关 协 议 有 BGP 协 
We OSPF 协议 和 BGP 协议 都 位 于 网 络 层 ， 但 RIP 协议 位 于 应 用 层 。OSPF 协议 是 分 布 
式 的 链 路 状态 路 由 协议 。 链 路 在 这 里 代表 该 路 由 器 和 哪些 路 由 器 是 相 邻 的 ， 即 通过 一 个 
网 络 是 可 以 连通 的 。 链 路 状态 说 明了 该 通路 的 连通 状态 以 及 距离 、 时 延 、 带 宽 等 参数 。 
在 该 协议 中 ， 只 有 当 链 路 状态 发 生变 化 时 ， 路 由 器 才 用 洪 泛 法 向 所 有 路 由 器 发 送 路 由 信 
息 。 所 发 送 的 信息 是 与 本 路 由 器 相 邻 的 所 有 路 由 器 的 链 路 状态 。 为 了 保存 这 些 链 路 状态 
信息 ， 每 个 路 由 器 都 建立 有 一 个 链 路 状态 数据 库 ， 因 为 路 由 器 交换 信息 时 使 用 的 是 洪 泛 
法 ， 所 以 每 个 路 由 器 都 存 有 全 网 的 链 路 状态 信息 ， 也 就 是 说 每 个 路 由 器 都 知道 整个 网 络 
的 连通 情况 和 拓扑 结构 。 这 样 每 个 路 由 器 都 可 以 根据 链 路 状态 数据 库 的 信息 来 构造 自己 
的 路 由 表 。 路 由 表 内 包含 有 数据 包 去 往 目的 地 地 址 的 下 一 跳 路 由 信息 。OSPF 协议 是 
TCP/IP 工作 的 基础 。 


2. OSPF 协议 的 安全 问题 及 防护 措施 

OSPF 的 报 文中 包含 了 认证 类 型 以 及 认证 数据 字段 , 如 图 3-2 所 示 。 其 中 主要 有 密码 
认证 、 空 认证 以 及 明文 认证 这 3 种 认证 模式 。 明 文 认证 是 将 口令 通过 明文 的 方式 来 进行 
传输 ， 只 要 可 以 访问 到 网 络 的 人 都 可 以 获得 这 个 口令 ， 易 遭受 来 自 网 络 内 部 的 攻击 。 密 
码 认 证 则 能 够 提供 良好 的 安全 性 。 为 接 入 同一 个 网 络 或 者 是 子 网 的 路 由 器 配置 一 个 共享 
密 钥 ， 然 后 这 些 路 由 器 所 发 送 的 每 一 个 OSPF 报 文 都 会 携带 一 个 建立 在 这 个 共享 密 钥 基 
础 之 上 的 消息 认证 码 。 当 路 由 器 接收 到 报 文 之 后 ， 根 据 路 由 器 上 的 共享 密 钥 以 及 接收 到 
的 报 文通 过 MD5 Hash 函数 生成 一 个 消息 认证 码 ， 并 将 生成 的 消息 认证 码 与 接收 到 的 消 
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图 3-2 OSPF 报 文 结构 
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息 认证 码 进行 对 比 ， 如 果 两 者 一 致 就 接收 ， 反 之 则 丢弃 。OSPF 协议 规定 了 认证 域 ， 但 
其 作用 非常 有 限 。 主 要 原因 有 : 

(1) 即使 OSPF 提供 了 较 强 的 认证 ， 但 某 些 节点 仍然 使 用 简单 的 口令 认证 。 那 些 能 
够 戏弄 路 由 协议 的 人 也 就 有 能 力 收集 到 本 地 以 太 网 上 传送 的 口令 。 

(2) 在 路 由 对 话 中 ， 如 果 有 一 个 合法 的 用 户 遭 到 破坏 ， 那 么 它 的 消息 就 不 再 可 信 。 

G) 在 许多 路 由 协议 中 ， 每 台 机 器 只 对 它 邻 近 的 计算 机 对 话 ， 而 这 些 邻 近 的 计算 机 
将 会 重复 旧 的 会 话 内 容 。 这 样 ， 欺 骗 就 会 得 到 传播 扩散 。 路 由 信息 确定 了 两 条 通道 : 一 
条 是 从 主 叫 机 器 到 目标 主机 ， 另 一 条 是 从 目标 主机 返回 到 主 叫 机 器 。 第 2 条 通道 可 以 是 
第 1 条 的 逆 通 道 ， 也 可 以 不 是 。 当 它们 不 是 逆 通 道 的 时 候 ， 就 叫 非 对 称 路 由 。 这 种 情况 
在 Internet 上 非常 普遍 。 当 网 络 有 多 个 防火 墙 时 ， 就 会 产生 问题 。 从 安全 的 角度 看 ， 返 
回 通 道 通常 更 加 重要 。 当 目标 主机 遭 到 攻击 的 时 候 ， 反 向 流动 的 数据 包 是 通过 什么 通道 
到 达 攻 击 主机 的 呢 ? 如 果 敌 人 能 够 破坏 路 由 机 制 ， 那 么 目标 主机 就 会 被 欺骗 ， 使 其 相信 
敌人 的 机 器 是 一 台 真 正 可 信赖 的 机 器 。 如 果 这 种 情况 发 生 ， 那 么 依赖 于 源 地 址 验证 的 认 
证 机 制 将 会 失败 。 


3.2.6 BGP 协议 


1. 概述 

BGP (Border Gateway Protocol) 是 边界 网 关 协 议 ， 它 将 单一 管理 的 网 络 转化 为 由 多 
个 自治 系统 分 散 互联 的 网 络 。 它 通常 工作 于 ISP 内 部 或 ISP 之 间 ， 有 时 也 工作 于 Intranet 
内 部 ,BGP 使 用 TCP 作为 路 由 交换 的 底层 传输 协议 , 其 以 增 量 的 更 新 实现 路 由 信息 交换 。 
首 个 BGP 协议 版 本 在 RFC1105 中 规定 ， 目 前 实际 运行 版 本 为 BGP-4 (RFC1771)。 有 关 
BGP 的 详细 描述 可 参阅 相关 文献 [Stewart 1999]。 


2. BGP 协议 的 安全 问题 及 防护 措施 

BGP 协议 最 主要 的 安全 问题 在 于 : 每 个 自治 系统 向 外 通告 自己 所 拥有 的 CIDR 
(Classless Inter-Domain Routing) 地 址 块 ， 并 且 协 议 无 条 件 信 任 对 等 系统 的 路 由 宣告 ， 这 
就 导致 一 个 自治 系统 向 外 通告 不 属于 自己 的 前 缀 时 ， 也 会 被 BGP 用 户 认为 合法 ， 从 而 接 
受 和 传播 。 有 研究 人 员 [Li 等 2013] 将 问题 归结 为 BGP 缺 乏 一 个 安全 可 信 的 路 由 认证 机 制 ， 
即 BGP 无 法 对 所 传播 的 路 由 信息 的 安全 性 进行 验证 。 为 了 抵抗 针对 BGP 协议 的 攻击 ， 
研究 人 员 主 要 提出 了 两 类 方案 : 路 由 认证 类 方案 和 前 绥 劫 持 检测 类 方案 。 

路 由 认证 类 方案 利用 数字 证 书 、 签 名 和 其 他 密码 学 技术 来 保护 路 由 信息 的 真实 性 和 
完整 性 。 

(1) 首先 出 现 的 是 针对 支持 BGP TCP 会 话 的 MD5 BGP 认证 技术 [Heffernan 1998]. 
会 话 者 通过 验证 TCP 伪 首 部 、 首 部 、 数 据 段 和 共享 秘密 的 MDS 杂凑 值 ， 来 实现 认证 。 
这 种 方法 比较 成 熟 ， 也 具有 很 高 的 效率 ， 但 是 其 安全 性 随 着 MD5 算法 的 安全 性 减弱 已 
经 逐渐 降低 。 

(2) S-BGP 方案 [Kent 等 2000a，2000b] 利 用 PKI 技术 来 增强 BGP 的 安全 性 。 该 方 
RE BGP 会 话 者 接收 到 的 整个 路 径 上 提供 数字 签名 链 。 这 种 方案 受到 PKI 技术 的 制约 ， 
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存在 计算 开销 大 等 问题 。 同 时 ， 受 制 于 各 厂商 和 管理 机 构 的 标准 难于 统一 ， 该 方案 推广 
与 部 署 困难 。 

G) 为 了 解决 S-BGP 方案 不 易 部 署 等 缺陷 ， 出 现 了 许多 基于 S-BGP 的 改进 方案 。 
如 Cisco 公司 的 soBGP 方案 [White 2003], IRV (Interdomain Routing Validation) 方案 
[Goodell 等 2003] 以 及 IETF 的 SIDR 工作 组 开发 的 RPKI (Resource Public Key 
infrastructure) & BGPsec 方案 [Lepinski 2012a，2012b]。 

前 绥 劫 持 检测 类 方案 利用 异常 检测 (Anomaly Detection) 技术 提取 BGP 协议 运行 中 
的 异常 信息 ， 对 前 绥 劫 持 行 为 进行 检测 ， 从 而 提高 BGP 的 安全 性 。 

(1) 多 源 AS (Multiple Origin AS, MOAS) 检测 技术 [Zhao 等 2001] 通 过 获取 网 络 
中 控制 平面 的 信息 ,对比 MOAS 列表 的 一 致 性 , 来 区 分 有 效 的 MOAS 和 攻击 的 MOAS。 
PHAS (Prefix Hijack Alert System) 检测 技术 通过 审查 BGP 协议 获得 的 路 由 数据 ， 发 现 
前 缀 劫持 威胁 ， 并 向 管理 者 通报 路 由 异常 [Lad 等 2006]。 

(2) 主动 探测 技术 是 利用 数据 平面 反馈 的 信息 来 发 现 前 级 动 持 行为 。 根 据 观测 点 
(Vantage Point) 与 被 测 自 治 系统 位 置 的 对 应 关系 , 可 以 分 为 由 外 及 内 探测 [Zheng 等 2007] 
和 由 内 及 外 探测 [Zhang 等 2010] 两 类 主动 探测 技术 。 

为 了 综合 利用 以 上 两 类 检测 技术 的 优点 ， 研 究 人 员 也 提出 了 将 主动 探测 技术 和 
MOAS 检测 技术 结合 的 前 级 动 持 混合 检测 技术 [Hu 等 2007]。 


33 _ 传 输 层 协议 


本 节 主 要 讨论 传输 层 协议 及 其 安全 性 分 析 。 传 输 层 的 任务 是 在 源 主机 和 目的 主机 之 
间 提 供 可 靠 的 、 性 价 比 合理 的 数据 传输 功能 ， 向 下 利用 网 络 层 提供 给 它 的 服务 ， 向 上 为 
其 用 户 “〈 通 常 为 应 用 层 中 的 进程 ) 提供 高 效 、 可 靠 和 性 价 比 合理 的 服务 。 传 输 层 的 存在 
使 得 传输 服务 有 可 能 比 网 络 服务 更 加 可 靠 ， 丢 失 的 分 组 和 损坏 的 数据 可 以 在 传输 层 上 检 
测 出 来 ， 并 进行 纠正 。Internet 传输 层 有 两 个 主要 协议 ， 一 个 是 面向 连接 的 TCP 协议 ， 
一 个 是 无 连接 的 UDP 协议 。 


3.3.1 TCP 协议 


1. 概述 

TCP 是 一 个 面向 连接 的 可 靠 传输 协议 , 提供 了 一 些 用 户 所 期 望 的 而 IP 协议 又 不 能 
供 的 功能 。 如 耳 层 的 数据 包 非 常 容易 丢失 、 被 复制 或 以 错误 的 次 序 传 递 ， 无 法 保证 数据 
包 一 定 被 正确 递交 到 目标 端 。 而 TCP 协议 会 对 数据 包 进行 排序 和 校 验 ， 未 按照 顺序 收 到 
的 数据 包 会 被 重 排 ， 而 损坏 的 数据 包 也 可 以 被 重 传 。TCP 协议 的 原始 正式 定义 位 于 
RFC793 中 ,此 外 在 RFC1122 中 详细 阐述 了 一 些 错误 的 修补 方案 , 在 RFC1323 中 又 进 一 
步 作 了 扩展 。 
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2. TCP 协议 的 安全 问题 及 防护 措施 

目前 针对 TCP 协议 的 攻击 主要 可 以 划分 为 以 下 三 类 。 

第 一 类 攻击 是 针对 TCP 连接 建立 阶段 的 三 次 握手 过 程 .TCP 是 一 个 面向 连接 的 协议 ， 
即 在 数据 传输 之 前 要 首先 建立 连接 ， 然 后 传输 数据 ， 当 数据 传输 完毕 后 释放 所 建立 的 连 
接 。TCP 使 用 三 次 握手 来 建立 连接 ， 这 种 方式 大 大 增强 了 传输 的 可 靠 性 ， 如 防止 已 失效 
的 连接 请 求 报 文 段 到 达 被 请 求 方 ， 产 生 错误 造成 资源 的 浪费 。 具 体 过 程 如 图 3-3 所 示 。 
但 与 此 同时 ， 三 次 握手 机 制 却 给 攻击 者 提供 了 可 以 利用 的 漏洞 ， 这 类 攻击 中 最 常见 的 就 
是 SYN FLOOD 攻击 ， 攻 击 者 不 断 向 服务 器 的 监听 端口 发 送 建立 TCP 连接 的 请 求 SYN 
数据 包 ， 但 收 到 服务 器 的 SYN 包 后 却 不 回复 ACK 确认 信息 ， 每 次 操作 都 会 使 服务 器 端 
保留 一 个 半 开 放 的 连接 ， 当 这 些 半 开 放 连 接 填 满 服务 器 的 连接 队列 时 ， 服 务 器 便 不 再 接 
受 后 续 的 任何 连接 请 求 ， 这 种 攻击 属于 拒绝 服务 (DoS) 攻击 。 防 御 这 类 攻击 的 主要 思 
路 是 在 服务 器 前 端 部 署 相 应 的 网 络 安 全 设备 (如 防火 墙 设备 ) 对 SYN FLOOD 攻击 数据 
包 进 行 过 滤 。 

第 二 类 攻击 针对 TCP 协议 不 对 数据 包 进行 加 密 和 认证 的 漏洞 ， 进 行 TCP 会 话 劫持 
攻击 。TCP 协议 有 一 个 关键 特征 ， 即 TCP 连接 上 的 每 一 个 字 节 都 有 它 自己 独 有 的 32 位 
序列 号 ， 数 据 包 的 次 序 就 靠 每 个 数据 包 中 的 序列 号 来 维持 。 在 数据 传输 过 程 中 所 发 送 的 
每 一 个 字 节 ,包括 TCP 连接 的 打开 和 关闭 请 求 ， 都 会 获得 唯一 的 标号 。TCP 协议 确认 数 
据 包 的 真实 性 的 主要 根据 就 是 判断 序列 号 是 否 正确 ， 但 这 种 机 制 的 安全 性 并 不 够 ， 如 果 
攻击 者 能 够 预测 目标 主机 选择 的 起 始 序 号 ， 就 可 以 欺骗 该 目标 主机 ， 使 其 相信 自己 正在 
与 一 台 可 信 主 机 进行 会 话 。 攻 击 者 还 可 以 伪造 发 送 序列 号 在 有 效 接收 窗口 内 的 报 文 ， 也 
可 以 截获 报 文 并 算 改 内 容 后 再 发 送 给 接收 方 。 防 御 此 类 攻击 的 思路 是 在 TCP 连接 建立 时 
采用 一 个 随机 数 作为 初始 序列 号 ， 规 避 攻 击 者 对 序列 号 的 猜测 。 

第 三 类 攻击 是 针对 TCP 的 拥塞 控制 机 制 的 特性 ， 在 TCP 连接 建立 后 的 数据 传输 阶 
段 进行 攻击 ， 降 低 网 络 的 数据 传输 能 力 。 拥 塞 控制 是 TCP 的 一 项 重要 功能 ， 所 谓 拥塞 控 


客户 机 状态 消息 服务 器 状态 


激活 开放 
SYN=1, 序列 号 =X 
SYN=1.ACK==1. 序 列 号 =Y, 确认 号 =X+1 
CK 二 1, 序 列 号 =X+1, 确认 号 =Y+1 
连接 建立 


3-3 TCP 三 次 握手 连接 建立 过 程 


半 开 放 
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制 就 是 防止 过 多 的 数据 注入 网 络 ， 使 网 络 中 的 链 路 和 交换 结 点 〈 路 由 器 ) 的 负荷 不 致 过 
载 而 发 生 拥 塞 ，TCP 的 拥塞 控制 主要 有 以 下 4 种 方法 : 慢 启动 、 拥 塞 避免 、 快 重 传 和 快 
恢复 。 发 送 端 主机 在 确定 发 送 报 文 段 的 速率 时 ， 既 要 考虑 接收 端的 接收 能 力 ， 又 要 考虑 
网 络 的 传输 能 力 。 因 此 ， 每 一 个 TCP 连接 都 需要 维护 接收 窗口 和 拥塞 窗口 两 个 状态 变 
量 ， 接 收 窗口 是 接收 端 主机 根据 其 目前 的 接收 缓存 大 小 所 许诺 的 最 新 窗口 值 ， 拥 塞 窗口 
的 大 小 表示 了 当前 网 络 的 传输 能 力 ， 由 发 送 端 设置 。 发 送 窗口 取 这 两 者 中 的 较 小 值 。 攻 
击 者 会 利用 发 送 端 计算 拥塞 窗口 的 漏洞 , 通过 降低 拥塞 窗口 大 小 来 降低 发 送 窗口 的 大 小 。 
拥塞 窗口 的 计算 采用 了 所 谓 的 慢 启动 (slow start) 算法 ， 其 具体 特征 就 是 拥塞 窗口 在 传 
输 正 常 时 成 指数 增长 ， 增 长 到 一 定 阔 值 后 按 线 性 增长 ， 一 旦 出 现 数据 包 传输 超时 ， 则 拥 
塞 窗口 变 为 最 小 值 ， 阔 值 变 为 原来 一 半 。 有 经 验 的 攻击 者 可 以 利用 这 种 特性 ， 周 期 性 地 
制造 网 络 关键 节点 的 拥塞 ， 不 断 触发 拥塞 窗口 的 慢 启动 过 程 ， 最 终 达 到 降低 正常 数据 传 
输 能 力 的 目的 。 因 为 此 类 攻击 的 具体 手段 比较 灵活 ， 防 御 此 类 攻击 的 难度 较 大 ， 需 要 网 
络 管理 人 员 实 时 监测 网 络 的 异常 流量 ， 避 免 攻 击 者 制造 网 络 关键 节点 的 拥塞 。 


3.3.2 UDP 协议 


1. 概述 

相 较 于 TCP 提供 的 丰富 功能 ，UDP 协议 只 在 IP 的 数据 报 服务 之 上 增加 了 很 少 的 一 
点 功能 , 即 端口 的 功能 和 差错 检测 的 功能 。 虽 然 UDP 用 户 数据 报 只 能 提供 不 可 靠 的 交付 ， 
但 UDP 在 某 些 方面 有 其 特殊 的 优点 : 第 一 ,发送 数据 之 前 不 需要 建立 连接 ， 因 此 减少 了 
开销 和 发 送 数 据 之 前 的 时 延 ， 第 二 ， 不 使 用 拥塞 控制 ， 也 不 保证 可 靠 交 付 ， 因 此 ， 主 机 
不 需要 维持 许多 参数 的 、 复 杂 的 连接 状态 表 ; B=, UDP 用 户 数据 报 只 有 8 个 字 节 的 首 
部 开销 ; 第 四 ， 由 于 没有 拥塞 控制 ， 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速率 降低 。 这 
对 某 些 实时 应 用 是 很 重要 的 。 

表 3-1 列 出 了 常用 的 几 种 使 用 UDP 协议 进行 传输 的 应 用 层 协 议 及 相应 端口 号 。 


表 3-1 常用 的 使 用 UDP 协议 进行 传输 的 应 用 层 协议 


应 用 层 协议 端口 号 
53 
| 69 
NIP | 123 


| 67, 68 


| 简单 文件 传输 协议 
| 网 络 时 间 协 议 

| 动态 主机 配置 协议 
| 简单 网 络 管理 协议 
网 络 文件 系统 


ajja j|wj|Nj= 


2. UDP 协议 的 安全 问题 及 防护 措施 

DoS 攻击 是 一 种 最 常见 的 UDP 攻击 ， 而 UDP Flood 攻击 又 是 DoS 攻击 中 最 普遍 的 
流量 型 攻击 。 其 攻击 原理 : 攻击 源 发 送 大 量 的 UDP 小 包 到 攻击 目标 ， 目 标 可 以 是 服务 器 
或 者 网 络 设备 〈 前 提 是 攻击 目标 已 经 开放 UDP 端口 )， 使 其 忙于 处 理 和 回应 UDP 报 文 ， 
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系统 资源 使 用 率 山 高 ， 最 后 导致 该 设备 不 能 提供 正常 服务 或 者 直接 死机 ， 严 重 的 会 造成 
全 网 瘫痪 。 可 以 说 UDP 攻击 是 一 种 消耗 攻击 目标 资源 , 同时 也 消耗 自己 资源 的 攻击 方式 ， 
技术 含量 较 低 。 

使 用 UDP 进行 传输 的 应 用 层 协 议 之 间 差 异 极 大 ， 因 此 不 同情 况 下 的 UDP 攻击 需要 
采取 不 同 的 防护 手段 : (1) 如 果 攻 击 包 是 大 包 ,， 则 根据 攻击 包 大 小 设 定 包 碎 片 重组 大 小 ， 
通常 不 小 于 1500， 极 端 情况 下 可 以 考虑 丢弃 所 有 UDP 碎片 ; (2) 当 攻 击 端口 为 业务 端 
口 ， 根 据 该 业务 UDP 最 大 包 长 设置 UDP 最 大 包 以 过 滤 异 常 流量 ; (3) 当 攻 击 端口 为 非 
业务 端口 ， 通 常 通过 设置 UDP 连接 规则 ， 要 求 所 有 去 往 该 端口 的 UDP 包 ， 必 须 首先 与 
TCP 端口 建立 TCP 连接 ， 不 过 这 种 方法 需要 借助 专业 安全 设备 。 


5 应 用 层 协 议 


3.4.1 RIP 协议 


1. 概述 

RIP (Routing Information Protocol) 是 一 种 动态 内 部 路 由 /网 关 协 议 ， 适 用 于 简单 的 
IP 网 络 。 该 协议 虽然 解决 的 是 网 络 互联 的 路 由 问题 ， 但 它 是 应 用 层 协议 。RIP 协议 最 早 
在 RFC 1058 中 提出 ，RIPv2 (RFC1723) 是 它 的 改进 方案 。RIPv2 新 增 了 变 长 子 网 掩 码 
的 功能 ， 支 持 无 类 域 间 路 由 、 支 持 组 播 、 支 持 认 证 功能 ， 同 时 对 RIP 路 由 器 具有 后 向 兼 
容 性 。 

RIP 采用 距离 矢量 算法 与 相 邻 的 路 由 器 交换 路 由 信息 ， 它 以 “ 跳 数 ”( 即 metric) 来 
衡量 到 达 目 的 地 的 距离 。 路 由 器 到 直 连 网 络 的 metric 标记 为 0， 每 经 过 一 个 路 由 器 到 达 
下 一 网 络 时 metric 增加 1。 为 限制 收敛 时 间 ，RIP 规定 一 条 有 效 路 由 信息 的 metric 不 能 
超过 15， 这 就 使 得 该 协议 不 能 应 用 于 大 型 的 网 络 。 

RIP 的 工作 原理 如 下 : C) 路 由 器 最 初 启动 时 只 包含 了 其 直 连 网 络 的 路 由 信息 ， 随 
后 定期 (30s) 和 相 邻 路 由 器 交换 路 由 信息 (就 是 路 由 器 当前 的 路 由 表 )， 路 由 信息 以 RIP 
报 文 传送 。(2) 路 由 器 根据 接收 到 的 RIP 报 文 来 更 新 路 由 表 ， 有 具体 方法 是 添加 或 更 新 自 
已 的 路 由 表 项 。(3) 如 果 接 收 到 与 已 有 表 项 的 目的 地 址 相同 的 路 由 信息 ， 则 分 为 三 种 情 
况 对 待 : 第 一 种 情况 ， 已 有 表 项 的 来 源 端 口 与 新 表 项 的 来 源 端口 相同 ， 那 么 根据 最 新 的 
路 由 信息 更 新 其 路 由 表 ; 第 二 种 情况 ， 已 有 表 项 与 新 表 项 来 源 于 不 同 的 端口 ， 那 么 比较 
它们 的 metric 值 ， 将 metric 值 较 小 的 一 个 作为 自己 的 路 由 表 项 ， 第 三 种 情况 ， 新 旧 表 项 
的 metric 值 相 等 ， 通 常 的 处 理 方法 是 保留 旧 的 表 项 。(4) 若 接 收 到 的 目的 网 络 不 在 自己 
的 路 由 表 中 ， 则 把 该 项 目 加 到 路 由 表 中 ， 并 将 其 metric 值 加 1。 经 过 一 系列 路 由 更 新 ， 
网 络 中 的 每 个 路 由 器 都 具有 一 张 完整 的 路 由 表 ， 这 个 过 程 称 为 收敛 。RIP 协议 使 用 UDP 
的 520 端口 来 发 送 和 接收 RIP 报 文 。 路 由 器 每 隔 30s 向 其 邻居 路 由 器 发 送 本 地 路 由 表 。 
如 果 经 过 180s 都 没有 接收 到 更 新 报 文 ， 那 么 将 其 标记 为 不 可 达 ， 即 metric 值 标 记 为 16。 
如 果 在 其 后 的 120s 仍然 没有 收 到 更 新 信息 ， 就 将 该 路 由 从 路 由 表 中 删除 。 
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2. RIP 协议 的 安全 问题 及 防护 措施 

RIPv1 有 其 固有 的 不 安全 因素 , 它 没 有 使 用 认证 机 制 并 使 用 不 可 靠 的 UDP 协议 进行 
传输 。RIPv2 的 分 组 格式 中 包含 了 一 个 选项 可 以 设置 16 个 字符 的 明文 加 密 字符 串 或 者 对 
MDS 杂凑 值 的 签名 。 虽 然 RIP 报 文 很 容易 伪造 , 但 RIPv2 中 对 MDS 杂凑 值 的 签名 与 认 
证 使 得 欺骗 的 操作 难度 大 大 提高 。 攻 击 者 可 以 伪造 RIP 路 由 更 新 信息 ， 并 向 邻居 路 由 器 
发 送 ,伪造 内 容 为 目的 网 络 地 址 、 子 网 掩 码 地 址 与 下 一 条 地 址 ,经 过 若干 轮 的 路 由 更 新 ， 
网 络 通信 将 面临 瘫痪 的 风险 。 此 外 ,攻击 者 会 利用 一 些 网 络 嗅 探 工具 (如 tcpdump 和 rprobe 
等 ), 来 获得 远程 网 络 的 RIP 路 由 表 , 通过 欺骗 工具 (如 srip) 伪造 RIPv1 或 RIPv2 RX, 
再 利用 重 定向 工具 (如 fragroute) 截取 、 修 改 和 重 写 向 外 发 送 的 报 文 ， 以 控制 网 络 中 的 
报 文 信息 。 

针对 RIP 的 不 安全 因素 ， 中 小 型 网 络 通常 采取 以 下 的 两 种 防范 措施 : 

(1) 将 路 由 器 的 某 些 接口 配置 为 被 动 接口 ， 配 置 为 被 动 接口 后 ， 该 接口 停止 向 它 所 
在 的 网 络 广播 路 由 更 新 报 文 ， 但 是 允许 它 接收 来 自 其 他 路 由 器 的 更 新 报 文 。 

(2) 配置 路 由 器 的 访问 控制 列表 ， 只 允许 某 些 源 I 地 址 的 路 由 更 新 报 文 进入 列表 。 

目前 , 大 多 数 企业 网 络 使 用 的 是 采用 MDS 安全 机 制 的 RIPV2 协议 , 或 者 是 移植 了 安 
全 认证 机 制 的 OSPF 协议 来 提高 安全 性 。 


3.4.2 HTTP 协议 


1. 概述 

超 文本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 是 一 种 承载 于 TCP 协议 之 上 
的 应 用 层 协议 ， 能 够 从 服务 器 传输 超 文本 到 本 地 浏览 器 ， 是 互联 网 上 应 用 最 广泛 的 一 种 
网 络 协议 。HTTP 协议 是 一 个 客户 端 终端 和 服务 器 端 之 间 请 求 和 应 答 的 标准 ， 具 体 过 程 : 
首先 由 客户 端 发 起 一 个 请 求 ， 建 立 到 服务 器 指定 端口 (默认 是 80 端口 ) 的 连接 ，HTTP 
服务 器 接收 请 求 后 ， 会 向 客户 端 返回 一 个 状态 ， 包 括 协议 版 本 号 、 成 功 或 错误 的 代码 和 
返回 内 容 等 信息 ， 客 户 端 收 到 信息 后 通过 浏览 器 显示 内 容 ， 最 后 断 开 连接 。 


2. HTTP 协议 的 安全 问题 及 防护 措施 

由 于 HITP 协议 设计 之 初 未 进行 安全 方面 的 考虑 , 数据 是 直接 通过 明文 进行 传输 的 ， 
不 提供 任何 方式 的 数据 加 密 ， 因 此 存在 较 大 的 安全 缺陷 。 

(1) 攻击 者 可 以 通过 网 络 嗅 探 工具 轻易 获得 明文 的 传输 数据 ， 从 而 分 析出 特定 的 敏 
感 信 息 ， 如 用 户 的 登录 口令 、 手 机 号 码 和 信用 卡号 码 等 重要 资料 。 

(2) HTTP 协议 是 一 种 无 状态 的 连接 ， 在 传输 客户 端 请 求 和 服务 器 响应 时 ， 唯 一 的 
完整 性 检验 就 是 在 报 文 头 部 包含 了 数据 传输 长 度 , 而 未 对 传输 内 容 进 行 消息 完整 性 检测 ， 
攻击 者 可 以 轻易 算 改 传输 数据 , 发动 中 间 人 攻击 , 因此 HTTP 协议 不 适合 传输 重要 信息 。 

针对 HTTP 协议 的 这 些 安全 问题 , 超 文本 传输 安全 协议 (Hyper Text Transfer Protocol 
Secure, HTTPS) 在 HTTP 协议 和 TCP 协议 之 间 增 加 了 安全 层 来 增强 安全 性 ， 安 全 层 主 
要 通过 安全 套 接 层 (Secure Sockets Layer, SSL) 及 其 蔡 代 协议 传输 层 安全 协议 (Transport 
Layer Security, TLS) 实现 。 与 HTTP 协议 不 同 ，SSL 协议 通过 443 端口 进行 传输 ， 主 
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要 包含 记录 协议 (SSL Record Protocol) 和 握手 协议 (SSL Handshake Protocol)， 记 录 协 
议 确定 了 对 传输 层 数 据 进行 封装 ， 具 体 实施 加 密 解 密 、 计 算 和 校 验 等 安全 操作 。 握 手 协 
WEH X.509 认证 ， 用 于 验证 传送 数据 ， 协 商 加 密 算法 ， 并 利用 非 对 称 加 密 算法 进行 身 
份 认 证 和 生成 会 话 密 钥 等 操作 ， 从 而 对 通信 双方 交换 的 数据 加 密 ， 保 证 客户 与 服务 器 应 
用 之 间 的 通信 不 被 攻击 者 窃听 。 

HTTPS 协议 通过 增加 安全 层 , 可 实现 双向 身份 认证 、 生 成 会 话 密 钥 、 传 输 数据 加 密 、 
数据 完整 性 验证 和 防止 数据 包 重 放 攻 击 等 安全 功能 ， 主 要 改进 在 于 使 用 非 对 称 加 密 算法 
在 不 可 信 的 互联 网 上 安全 传输 了 用 来 对 称 加 密 的 会 话 密 铀 ， 从 而 建立 了 安全 信道 ， 因 此 
很 多 银行 和 邮箱 等 安全 级 别 较 高 的 服务 都 使 用 HTTPS 协议 。 但 由 于 HTTPS 协议 会 额外 
增加 握手 过 程 并 对 数据 进行 加 密 ， 因 此 会 在 一 定 程度 上 拖 慢 网 页 加 载 速度 。 

由 于 SSL 使 用 了 非 对 称 加 密 算法 来 传输 会 话 密 钥 , 在 大 多 数 情况 下 , HTTPS 协议 本 
身 不 会 直接 遭遇 威胁 ， 针 对 HTTPS 协议 的 攻击 方式 主要 是 发 生 在 SSL 连接 还 未 发 生 时 
的 中 间 人 攻击 ， 利 用 SSLstrip 工具 可 攻击 从 非 安全 连接 到 安全 连接 的 通信 ， 即 从 HTTP 
到 HTTPS 的 过 程 中 发 起 中 间 人 攻击 , 模拟 客户 端 向 服务 器 提供 证 书 , 再 从 安全 网 站 收 到 
流量 提供 给 客户 端 ， 进 而 窃取 敏感 信息 。 

多 数 SSL 加 密 的 网 站 都 使 用 名 为 OpenSSL 的 开源 软件 包 ，2014 年 4 月 曾 爆 发 著名 
的 心脏 滴 血 (Heartbleed) 漏洞 ， 影 响 了 全 球 绝 大 多 数 使 用 HTTPS 协议 的 安全 网 站 ， 目 
前 该 漏洞 已 被 修补 。 


3.4.3 TELNET 协议 


1. 概述 

远程 登录 (Telnet) 协议 是 TCP/IP 协议 族 中 的 一 员 ， 是 Internet 远程 登录 服务 的 标 
准 协 议 。Telnet 协议 可 以 让 用 户 使 用 的 本 地 计算 机 成 为 远程 主机 系统 的 一 个 终端 。 用 户 
可 以 在 本 地 终端 上 使 用 Telnet 协议 远程 访问 服务 器 并 输入 命令 , 命令 会 在 服务 器 上 执行 ， 
并 将 执行 结果 返回 给 用 户 。Telnet 协议 侧重 于 访问 远程 主机 所 拥有 的 信息 资源 ， 如 果 希 
望 在 本 地 计算 机 与 远程 主机 间 传 递 文件 , 那么 相 较 而 言 FTP 协议 会 更 加 快捷 有 效 。Telnet 
协议 默认 采用 TCP 23 号 端口 。 


2. Telnet 协议 的 安全 问题 及 防护 措施 

Telnet 协议 现今 并 不 多 用 ， 许 多 服务 器 都 禁止 了 Telnet 服务 。 因 为 在 注重 安全 性 的 
现代 网 络 环境 中 ， 我 们 不 再 假设 通信 网 络 与 通信 各 方 是 可 信任 的 ， 大 多 数 Telnet 会 话 都 
来 自 不 可 信 的 终端 ， 这 些 终端 与 服务 器 之 间 的 网 络 也 是 不 可 信任 的 。 而 工作 在 上 述 环境 
下 的 Telnet 协议 是 一 种 明文 传输 协议 , 它 明文 传输 用 户 的 通信 内 容 , 包括 用 户 名 和 密码 。 
因此 Telnet 协议 缺乏 对 数据 保密 性 与 完整 性 的 保护 ， 具 体 存在 以 下 两 类 主要 安全 问题 : 

(1) 攻击 者 可 以 通过 嗅 探 器 (Sniffer) 监听 Telnet 会 话 ， 并 记录 用 户 名 和 口令 组 合 
甚至 所 有 会 话 内 容 。 事 实 上 ， 近 年 来 在 许多 主要 ISP 的 主机 上 都 发 现存 在 嗅 探 器 。 这 些 
嗅 探 器 捕获 Internet 业务 流 的 成 功率 相当 高 , 它们 记录 Telnet, FTP 和 rlogin 会 话 的 前 128 
个 字符 ， 这 足以 记录 目标 主机 的 地 址 、 登 录用 户 名 和 口令 。 
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(2) 除了 监听 Telnet 会 话 等 被 动 的 攻击 方式 ， 攻 击 者 还 可 以 采取 主动 的 攻击 方式 ， 
比如 从 通信 线路 着 手动 持 Telnet 会 话 并 在 认证 完成 后 自 改 或 插入 一 些 命令 ,或 者 在 会 话 
结束 后 仍然 保持 已 建立 的 连接 。 事 实 上 , 已 经 有 黑客 团体 掌握 了 使 用 TCP 劫持 工具 的 方 
法 ， 他 们 能 够 在 某 种 条 件 下 支持 TCP 会 话 。 对 黑客 团体 而 言 ，Telnet 和 rlogin 会 话 是 极 
具 吸 引力 的 目标 。 在 Telnet 会 话 遇 到 上 述 的 主动 攻击 时 ， 即 使 用 户 没有 采用 传统 的 静态 
口令 ， 而 是 采用 一 次 性 口令 (One-Time Password, OTP) 或 称 动 态 口令 的 机 制 〈 它 采用 
密码 学 中 的 HMAC 算法 构造 的 动态 口令 , 这 部 分 内 容 将 在 后 续 章 节 中 详细 讨论 ) 认证 登 
录 ， 也 只 能 避免 泄露 用 户 名 与 静态 口令 的 组 合 ， 而 不 能 避免 会 话 被 劫持 。 

对 Telnet 会 话 进行 加 密 是 解决 上 述 安全 问题 的 可 行 方案 。 但 是 ， 如 果 通 信 双 方 互 不 
信任 ， 单 钥 加 密 〈 在 后 续 章节 中 会 详细 介绍 ) 则 有 害 无 益 ， 因 为 通信 一 方 必须 将 密 钥 提 
供给 不 可 信 的 另 一 方 ， 这 样 会 泄漏 该 密 钥 。 目 前 存在 多 种 Telnet 的 加 密 解 决 方案 ， 比 如 
stel，SSLtelnet，stelnet 和 SSH。 虽 然 也 已 经 出 现 了 对 Telnet 加 密 的 标准 化 版 本 ， 但 是 尚 
不 清楚 有 多 少 用 户 使 用 它 。 而 SSH 已 经 成 为 远程 登录 事实 上 的 标准 协议 。 


3.4.4 SSH 协议 


1. 概述 

安全 壳 (Secure Shell, SSH) 协议 是 一 种 在 不 安全 的 网 络 上 建立 安全 的 远程 登录 或 
其 他 安全 网 络 服务 的 协议 ， 由 IETF 的 网 络 工 作 小 组 (Network Working Group) 所 制定 。 
SSH 是 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 。SSH 设计 的 原意 是 为 了 取代 原 UNIX 
系统 上 的 rcp，rlogin 和 rsh 等 不 安全 的 指令 程序 ， 现 被 用 来 取代 Telnet 实现 安全 的 远程 
登录 ， 并 可 以 为 POP，FTP 甚至 PPP 等 网 络 应 用 程序 提供 一 个 安全 的 “隧道 ”。SSH 提 
供 多 种 身份 认证 和 数据 加 密 机 制 ， 并 采用 “挑战 /响应 ”机 制 蔡 代 传统 的 主机 名 和 口令 认 
WE. SSH 对 所 有 传输 的 数据 进行 RSA 公 钥 加 密 算法 进行 处 理 , 避免 了 如 Telnet 等 传统 的 
网 络 服务 程序 明文 传输 口令 和 数据 带 来 的 信息 泄露 隐患 ， 同 时 能 够 有 效 防止 “中 间 人 攻 
击 ”(Man-in-the-middle Attack), DNS 欺骗 和 IP 欺骗 。SSH 协议 默认 采用 TCP 22 端口 。 

SSH 的 通信 流程 主要 分 为 6 步 : 建立 TCP 连接 、 版 本 协商 、 算 法 协商 、 密 钥 建立 和 
服务 器 认证 、 用 户 认 证 、 通 信 会 话 。 

2. SSH 协议 的 安全 问题 及 防护 措施 

SSH 协议 主要 由 3 层 协议 组 成 : 传输 层 协议 、 用 户 认证 协议 和 连接 协议 ， 其 中 高 层 
协议 要 运行 在 底层 协议 的 基础 上 ， 因 此 远程 登录 过 程 的 安全 性 是 由 3 个 安全 协议 共同 保 
证 的 。SSH 协议 虽然 为 目前 来 讲 较 可 靠 ， 专 为 远程 登录 会 话 和 其 他 网 络 服务 提供 安全 性 
的 协议 ， 但 仍 有 一 些 安全 性 问题 需要 关注 ， 并 会 面临 多 种 网 络 攻 击 。 

(1) 服务 器 认证 。SSH 协议 主要 面向 互联 网 网 络 中 主机 之 间 的 互 访 与 信息 交换 ， 拥 
有 一 套 以 主机 密 钥 为 基础 的 完备 的 密 钥 机 制 。 然 而 在 某 些 安全 性 不 高 的 网 络 环境 中 ， 没 
有 可 信 的 认证 机 构 对 服务 器 的 真实 性 进行 验证 ， 同 时 为 了 用 户 的 客户 端 使 用 方便 ，SSH 
协议 提供 了 一 个 可 选 功能 ， 即 在 客户 机 第 一 次 连接 到 服务 器 时 ， 可 以 不 对 服务 器 的 主机 
密 钥 进行 验证 。 这 一 功能 会 产生 一 些 安全 问题 ， 虽 然 此 时 客户 端 与 服务 器 之 间 的 通信 仍 
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然 是 加 密 的， 第 三 方 不 可 能 获得 双方 通信 的 内 容 ， 但 攻击 者 可 能 假冒 成 真正 的 服务 器 ， 
从 而 使 得 整个 系统 的 安全 都 受到 威胁 。 因 此 ， 在 系统 中 ， 应 尽量 避免 把 该 功能 设 为 默认 
配置 , 即 必须 尽 可 能 检验 主机 密 钥 , 使 用 验证 服务 器 正确 性 的 方法 , 例如 要 求 传送 SHA-1 
哈 希 算法 生成 的 主机 公 钥 的 MAC 值 等 。 

(2) 协议 版 本 协商 。SSH 协议 运行 的 第 一 步 是 进行 服务 器 与 客户 端 协议 版 本 的 协商 。 
服务 器 会 打开 端口 22 与 客户 端 建立 TCP 连接 ,之 后 发 送 的 包含 协议 版 本 号 的 TCP 报 文 
至 客户 端 ， 客 户 端 接收 报 文 并 解析 ， 之 后 返回 服务 器 一 个 包含 协议 版 本 号 的 报 文 。 如 果 
双方 的 版 本 号 不 同 ， 由 服务 器 决定 是 否 可 以 运行 ， 如 果 可 以 ， 则 双方 都 以 较 低 的 版 本 运 
行 。 如 果 攻 击 者 采用 有 安全 漏洞 的 版 本 建立 连接 ， 协 商 的 结果 是 采用 有 安全 漏洞 的 SSH 
协议 版 本 , 则 可 能 会 采取 进一步 的 攻击 。 所 以 在 SSH 协议 软件 的 配置 中 需 考 虑 版 本 问题 ， 
对 于 采用 的 软件 版 本 有 安全 问题 的 通信 方 ,可 以 采用 中 断 TCP 连接 的 办 法 .SSH 是 Client 
/Server 结构 ， 并 且 有 两 个 不 兼容 的 版 本 , 分别 是 1.x 和 2.x， 其 中 1.x 存在 许多 安全 问题 ， 
已 很 少 使 用 。 

(3) 主机 密 钥 文件 安全 。SSH 协议 在 工作 时 ， 服 务 器 的 主机 密 钥 存储 在 一 个 root 用 
户 可 读 的 主机 密 钥 文件 中 ， 如 果 该 文件 被 窃取 或 算 改 ， 则 会 对 协议 的 认证 机 制造 成 严重 
威胁 。 攻 击 者 可 以 利用 有 效 的 主机 密 钥 实 施 一 系列 攻击 ， 如 假冒 攻击 、 重 放 攻 击 和 中 间 
人 攻击 等 。 因 此 ， 主 机 密 钥 文件 必须 用 非常 安全 的 机 制 进行 管理 。 

OpenSSH 是 SSH 的 替代 软件 ， 其 源 代 码 是 开放 的 ， 而 且 是 免费 的 ， 且 同时 支持 SSH 
Lx 和 2.x， 预 计 将 来 会 有 越 来 越 多 的 人 使 用 OpenSSH。 现 在 已 经 有 各 种 基于 Windows 
的 SSH 版 本 ， 这 些 版 本 的 功能 和 价格 各 不 相同 。PuTTY 是 一 个 不 错 的 免费 自由 软件 ， 
该 软件 不 需要 安装 就 可 以 运行 。 


3.4.5 DNS 协议 


1. 概述 

域名 系统 (Domain Name System, DNS) 是 一 个 分 布 式 数据 库 系统 ， 用 来 实现 域名 
到 IP 地 址 或 IP 地 址 到 域名 的 映射 。 在 Internet 上 ， 域 名 与 IP 地 址 之 间 是 一 一 对 应 的 。 
域名 虽然 便于 人 们 记忆 , 但 机 器 之 间 只 能 通过 P 地 址 互相 识别 ， 它 们 之 间 的 转换 工作 称 
为 域名 解析 ， 域 名 解析 的 工作 需要 由 专门 的 域名 解析 服务 器 来 自动 完成 。 域 名 解析 服务 
器 也 称 作 DNS 服务 器 ，DNS 服务 使 用 的 是 53 号 端口 。 


2. DNS 协议 的 安全 问题 及 防护 措施 

从 安全 的 角度 看 , DNS 存在 一 定 的 问题 。 在 正常 工作 模式 下 , 备份 服务 器 可 使 用 “区 
转移 ”来 获得 域名 空间 中 所 属 信息 的 完整 备份 ， 黑 客 也 常 使 用 这 种 方式 快速 获得 攻击 目 
标 列表 。 如 果 将 前 向 命名 和 后 向 命名 分 离 ， 则 可 能 会 带 来 安全 问题 ， 黑 客 若 能 够 掌控 部 
分 反 向 映射 树 ， 就 能 实施 欺骗 ， 也 就 是 说 ， 反 向 记录 中 可 能 含有 可 信赖 的 那 台 机 器 的 名 
称 〈 伪 造 )。 针 对 DNS 的 攻击 还 有 破坏 力 更 强 的 变种 ， 攻 击 者 在 发 起 呼叫 之 前 ， 会 扰乱 
目标 机 器 中 DNS 响应 的 高 速 缓存 , 当 目 标 机 器 进行 交叉 检验 时 , 验证 结果 似乎 是 成 功 的 ， 
但 此 时 黑客 却 已 经 获得 了 访问 权 。 另 外 ， 黑 客 采用 呼叫 响应 的 方式 来 淹没 目标 的 DNS 
服务 器 ， 可 使 其 陷入 混乱 ， 此 类 攻击 案例 十 分 常见 ， 黑 客 只 需 用 非常 简单 的 程序 就 可 以 
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捣毁 DNS 的 高 速 缓存 。 

虽然 我 们 无 法 阻止 黑客 对 DNS 的 不 断 攻击 ， 但 是 可 以 通过 采取 相应 的 措施 加 以 控 
制 ， 如 可 以 对 授权 的 第 二 级 服务 器 限制 “区 转移 ”功能 的 使 用 。DNSsec 是 DNS 的 安全 
扩展 (Domain Name System Security Extensions), fH IETF 提供 的 一 系列 DNS 安全 认证 
机 制 组 成 , 它 可 以 对 DNS 记录 进行 数字 签名 , 是 消除 欺骗 性 DNS 记录 的 最 简便 的 方法 。 
当 某 个 区 的 所 有 者 有 不 良 动机 时 , DNSsec 就 会 签署 一 个 欺骗 性 的 记录 , 进而 可 以 有 效 防 
止 此 类 欺骗 。 此 外 ， 对 域 的 签名 可 以 离线 进行 ， 从 而 降低 了 域 签 名 私 钥 泄漏 的 风险 。 虽 
然 DNSsec 对 付 以 上 欺骗 攻击 很 有 效 ， 但 也 有 一 些 不 足 之 处 ， 所 以 它 迄 今 还 没有 成 为 主 
流 的 DNS 查询 方式 。 


3.4.6 SMTP 协议 


1. 概述 
E-mail 是 Intemet 上 使 用 最 广泛 的 服务 之 一 。 尽 管 网 络 上 有 多 种 邮件 收发 服务 ， 但 
最 常用 的 就 是 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, SMTP) [Klensin 2001]. 
SMTP 协议 属于 TCP/IP 协议 族 ，SMTP 服务 使 用 的 是 25 号 端口 。 
传统 SMTP 使 用 简单 的 协议 传输 7b ASCII 文本 字符 ，SMTP 会 话 样本 日 志 记 录 如 
图 3-4 所 示 , 箭头 表明 数据 的 流向 。 它 还 有 一 种 扩展 形式 , 称 为 ESMTP， 允许 扩展 协商 ， 
包括 8b 的 传输 。 这 样 ， 它 就 不 仅 能 够 传输 二 进 制 的 数据 ， 还 可 以 传输 非 ASCII 字符 集 。 
从 图 3-4 中 可 以 看 出 : 远程 站 点 sales.mymegacorp.com 向 本 地 主机 fg.net 发 送 了 一 封 电子 
| <--- 220 netsMP | 
| -=--> HELO sales.mymegacorp.com 
! <--- 250 fg.net 
! -=--> MAIL FROM: Anthony.Stazzone@sales.mymegacorp.com 
' <--- 2500K 
i 人 > RCPT TO: <ferd.berfle@fg.net> 
| <--- 250 0K 
1 -> DATA 
i 354 Start mail input; end with <CRLF>.<CRLF> 
From: A.Stazzone@sales.mymegacorp.com 


a -> TO: ferd.berfle@fa.net 
Date: Thu, 27 Jan 94 21:00:05 EST 


----> Meet you for lunch after | buy some power tools. 


---> Anthony 


<- 一 一 

<— 2500K 

-~ Sales.mymegacorp.coml A.Stazzone sent 273 bytes to fg.net!ferd.berfle 
1 —> QUIT 
! <— 221 sales. mymegacorp.com Terminating 


3-4 SMTP 会 话 样 本 日 志 记录 
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邮件 。 这 是 一 个 简单 的 协议 ， 网 络 管理 员 和 黑客 都 知道 如 何 使 用 这 些 命令 ， 他 们 可 以 手 
工 输入 这 些 命令 。 

注意 : 主 叫 方 在 MAIL FROM 命令 中 指明 了 一 个 返回 地 址 。 在 这 种 情况 下 ， 本 地 主 
机 没有 可 靠 的 办 法 来 验证 该 返回 地 址 的 正确 性 。 你 确实 不 知道 是 谁 用 SMTP 给 你 发 送 了 
邮件 。 如 果 你 需要 更 高 的 可 信 度 或 保密 性 ， 就 必须 使 用 更 高 级 的 安全 机 制 。 

一 个 组 织 机 构 至 少 需要 一 个 邮件 服务 器 。 内 部 网 络 用 户 的 邮件 服务 器 通常 设置 在 网 
关上 。 这 样 ， 内 部 的 管理 员 只 须 从 网 关上 的 邮件 服务 器 上 获得 他 们 的 邮件 。 此 网 关 能 够 
保证 外 出 的 邮件 头 部 符合 标准 。 如 果 本 地 的 邮件 服务 器 出 现 问 题 ， 管 理 员 可 以 方便 、 及 
时 地 解决 邮件 服务 器 故障 。 

通过 采用 邮件 网 关 ， 公 司 内 部 的 每 个 人 都 可 以 有 一 个 单独 设立 的 邮箱 。 但 是 这 些 邮 
件 账 户 列表 必须 严 加 保护 ， 以 防 被 人 窃取 而 成 为 黑客 攻击 的 目标 。 


2. SMTP 协议 的 安全 问题 及 防护 措施 

从 安全 的 角度 看 ， 基 本 的 SMTP 自身 是 完全 无 害 的 ， 但 是 它 可 能 成 为 拒绝 服务 攻击 
的 发 源 地 。 攻 击 者 可 以 采用 拒绝 服务 攻击 阻止 用 户 合法 使 用 该 邮件 服务 器 。 假 设 攻击 者 
能 控制 SO 台 机 器 , 每 台 机 器 都 向 邮件 服务 器 发 送 1000 个 IMB 大 小 的 邮件 , 恐怕 邮件 系 
统 很 难处 理 数量 如 此 之 多 的 邮件 。 

邮件 的 别名 有 时 也 会 给 黑客 提供 一 些 有 用 的 信息 。 像 下 面 的 一 些 命令 


VRFY <postmaster> 
VRFY <root> 


通常 可 以 把 邮件 别名 翻译 成 实际 的 登录 名 称 。 它 可 能 提供 一 些 关于 谁 是 系统 管理 员 、 攻 
击 成 功 后 哪个 账户 最 有 价值 等 线索 。 这 些 信 息 是 敏感 的 还 是 不 敏感 的 ， 完 全 是 安全 策略 
问题 。 

EXPN 子 命令 扩展 了 邮件 列表 的 别名 。 这 个 命令 存在 很 大 的 问题 ， 这 可 能 会 导致 机 
密 性 的 丧失 。 要 避免 这 种 风险 ， 一 种 有 用 的 做 法 是 将 暴露 的 邮件 服务 器 主机 的 别名 指向 
一 台 内 部 的 机 器 ， 这 人 台 机 器 从 外 部 是 不 可 达 的 ， 从 而 消除 这 种 扩展 所 带 来 的 风险 。 

不 管 运行 何 种 邮件 服务 程序 ， 应 该 将 其 配置 成 仅 接受 那些 要 么 来 自 你 的 网 络 中 的 邮 
件 ， 要 么 是 那些 发 给 你 的 用 户 的 邮件 。 所 谓 的 “开放 中 继 ”(Open Relay) 就 是 允许 在 任 
何人 之 间 进 行 邮 件 传递 ， 这 是 非常 危险 的 。 许 多 网 站 都 拒绝 接收 那些 来 自己 知 “ 开 放 中 
继 ” 的 电子 邮件 。 

SMTP 攻击 者 (spammer) 寻找 SMTP 服务 器 是 为 了 传递 他 们 的 spam (垃圾 邮件 )。 
他 们 需要 连接 到 高 带宽 的 E-mail 服务 器 上 ， 将 简单 的 信息 传递 到 不 同 的 地 址 。SMTP 服 
Z (KH Sendmail) 是 入 侵 系统 的 最 常用 方法 之 一 ， 因 为 它们 必须 完整 地 暴露 于 
Intemet， 且 邮件 的 路 由 是 复杂 的 (暴露 + 复杂 = 弱点 )。 

如 果 想 支持 移动 用 户 ， 可 以 使 用 SMTP 认证 。 它 最 好 与 加 密 SMTP 会 话 结合 起 来 使 
用 [Hoffman 2002]. SMTP 认证 的 主要 目的 是 要 避免 “开放 中 继 ” 的 存在 。 因 为 “开放 中 
继 ” 能 吸引 spammer， 并 导致 在 网 站 上 添加 一 条 reject all mail from this clowns 信息 。 这 
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种 SMTP 的 用 法 有 时 被 称 为 “邮件 托付 ”(Mail Submission)， 以 便 与 更 通用 的 邮件 传输 
相 区 别 。 


3.4.7 MIME 协议 


1. 概述 

多 用 途 网 际 邮件 扩充 协议 (Multipurpose Internet E-mail Extension, MIME) 最 早 于 
1992 年 就 应 用 于 电子 邮件 系统 ， 后 来 也 用 于 浏览 器 。 服 务 器 通过 说 明 发 送 的 多 媒体 数据 
的 MIME 类 型 ， 来 告诉 浏览 器 该 多 媒体 数据 的 类 型 ， 从 而 让 浏览 器 知道 接收 到 的 哪些 信 
息 是 MP3 文件 ， 哪 些 是 Shockwave 文件 等 。 

2. MIME 协议 的 安全 问题 及 防护 措施 

当 MIME 应 用 于 浏览 器 时 ， 浏 览 器 收 到 文件 后 ， 会 进入 插件 系统 进行 查找 ， 查 出 哪 
种 插件 可 以 识别 并 打开 收 到 的 文件 。 如 果 浏 览 器 不 确定 调用 哪 种 插件 系统 ， 它 可 能 会 告 
诉 用 户 缺 少 某 插件 ， 或 者 直接 选择 现 有 的 某 个 插件 来 尝试 打开 收 到 的 文件 。 传 输 的 信息 
中 缺少 MIME 标识 可 能 导致 的 情况 很 难 估计 ， 因 为 某 些 计 算 机 系统 可 能 不 会 出 现 故 障 ， 
但 某 些 计算 机 系统 可 能 会 因此 崩溃 。 

当 MIME 应 用 于 电子 邮件 系统 时 , 投 开 邮件 客户 端 软件 的 缺陷 不 谈 , 自动 运行 MIME 
编码 消息 就 潜藏 着 巨大 的 风险 ， 因 为 这 些 消 息 中 被 编码 的 结构 信息 能 够 指示 客户 端 软件 
要 采取 何 种 行动 。 

对 于 MIME 还 存在 一 种 分 段 攻击 。 有 一 种 MIME 类 型 ， 它 允许 将 单个 电子 邮件 消息 
分 成 几 段 。 如 果 消息 的 分 段 做 得 很 巧妙 ， 就 可 以 用 来 逃避 基于 网 关 的 病毒 检测 。 当 然 ， 
如 果 邮 件 客户 端 软件 不 能 重组 这 些 分 段 的 消息 ， 这 种 攻击 也 是 无 效 的 ， 然 而 微软 的 
Outlook Express 确实 可 以 重组 这 些 分 段 的 消息 。 解 决 这 个 问题 有 两 种 方法 ， 一 是 在 网 关 
上 重组 这 些 消息 ， 二 是 拒绝 那些 分 段 发 来 的 邮件 。 

MIME 存在 的 其 他 风险 包括 邮寄 可 执行 程序 和 含有 和 危险 动作 的 PostScript 文件 。 通 
过 电子 邮件 发 送 可 执行 程序 是 传播 蠕虫 和 病毒 的 主要 根源 。 当 然 ， 攻 击 者 也 可 能 通过 电 
子 邮 件 发 送 一 条 含有 伪造 的 “From: ”命令 行 的 MIME 消息 。 许 多 流行 的 蠕虫 和 病毒 就 
是 采用 这 种 方式 传播 的 。 

上 述 这 些 问题 和 其 他 一 些 安全 问题 在 MIME 技术 文档 中 已 有 详细 说 明 。 但 是 ， 很 多 
基于 Windows 系统 的 邮件 服务 器 几乎 都 忽视 了 这 些 建议 。 


3.4.8 POP3 协议 


1. 概述 

邮局 协议 (Post Office Protocol, POP) 是 一 个 邮件 接收 协议 ， 它 的 第 3 个 版 本 称 为 
POP3。 它 规定 了 如 何 将 个 人 计算 机 连接 到 遵循 POP3 协议 的 接收 邮件 服务 器 并 下 载 电 子 
邮件 ， 是 Internet 电子 邮件 的 第 一 个 离线 协议 标准 。 其 具体 过 程 是 : 电子 邮件 发 送 到 邮 
件 服务 器 ， 客 户 机 通过 邮件 客户 端 软件 连接 服务 器 ， 并 下 载 所 有 未 阅读 的 电子 邮件 ， 同 
时 删除 保存 在 邮件 服务 器 上 的 邮件 (目前 很 多 POP3 服务 器 在 邮件 被 下 载 后 ， 并 不 删除 
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邮件 )。 当 客户 机 长 时 间 保 持 在 线 时 ,邮件 客户 端 软件 会 每 隔 一 定 的 时 间 就 获取 一 次 新 的 
邮件 。POP3 服务 允许 用 户 设置 本 地 浏览 器 的 接收 /发 送 邮件 服务 器 名 称 ， 客 户 机 采用 
POP3 和 SMTP， 用 同一 个 或 不 同 的 邮件 服务 器 来 收发 电子 邮件 。 在 TCP/IP 中 ，POP3 
服务 采用 的 TCP 端口 号 为 110。 


2. POP3 协议 的 安全 问题 及 防护 措施 

POP3 非常 简单 ， 服 务 器 可 用 Perl 脚本 程序 非常 容易 地 实现 它 。 正 是 因为 它 简单 ， 
所 以 它 也 非常 不 安全 。 在 使 用 USER/PASS 组 合 的 旧版 本 中 ， 用 户 在 访问 邮箱 时 采用 的 
口令 是 以 明文 传输 的 ， 攻 击 者 很 容易 窃取 到 用 户 名 和 口令 ， 从 而 获取 用 户 邮 箱 中 的 所 有 
邮件 。 最 近 开 发 的 邮件 客户 端 软件 采用 APOP 命令 来 收取 邮件 , 以 安全 地 传输 用 户口 令 。 
APOP 基于 口令 认证 中 常用 的 “挑战 /响应 ”机 制 ， 对 用 户 名 和 口令 进行 加 密 。 但 APOP 
对 邮件 内 容 不 作 保护 ， 即 使 得 不 到 用 户 名 和 口令 ， 攻 击 者 也 很 容易 窃取 到 以 明文 形式 传 
输 的 邮件 内 容 。 以 上 两 种 协议 均 将 口令 以 明文 形式 存储 在 服务 器 上 ， 一 旦 服务 器 遭 到 攻 
击 ， 则 可 能 造成 用 户 名 和 口令 的 泄露 。 此 外 ， 攻 击 者 也 可 能 对 认证 交换 的 口令 发 起 字典 
攻击 。 为 保障 邮件 安全 传输 ， 可 以 利用 SSL/TLS 协议 对 传输 的 数据 进行 加 密 。 目 前 ， 很 
多 站 点 支持 基于 SSL/TLS 的 POP3 服务 ， 但 有 些 客户 端 不 支持 这 一 服务 。 

如 果 邮 件 服 务 器 运行 的 是 UNIX 操作 系统 ， 那 么 POPS 服务 器 软件 在 认证 结束 前 通 
常 以 root 用 户 权 限 运行 ， 用 户 必 须 在 服务 器 上 开设 一 个 账号 。 其 实 这 很 不 利 : 一 方面 它 
增加 了 邮件 服务 器 的 管理 难度 ， 另 一 方面 意味 着 用 户 可 以 登录 到 邮件 服务 器 上 。 这 种 设 
计 思 想 非常 危险 ， 因 为 用 户 可 能 给 服务 器 带 来 非常 大 的 安全 风险 。 尽 管 如 此 ， 仍 然 可 以 
使 用 POP3 服务 器 收发 邮件 ， 但 要 保证 POP3 服务 器 仅 对 其 用 户 数据 库 和 电子 邮件 进行 
维护 。 


3.4.9 IMAP4 协议 


1. 概述 

Internet 消息 访问 协议 (Intemet Message Access Protocol, IMAP) 是 由 美国 华盛顿 大 
学 所 研发 的 一 种 邮件 获取 协议 ， 当 前 的 权威 定义 是 RFC3501。 它 的 主要 作用 是 邮件 客户 
端 ( 如 MS Outlook Express) 可 以 通过 这 种 协议 从 邮件 服务 器 上 获取 邮件 的 信息 并 下 载 
邮件 。 正 如 POP3 是 POP 的 第 3 个 版 本 一 样 ，IMAP4 是 IMAP 的 第 4 个 版 本 ， 它 提供 了 
同 POP3 一 样 方便 的 邮件 下 载 服务 ， 而 且 在 对 邮箱 的 访问 控制 功能 上 比 POP3 更 加 强大 。 
IMAP4 运行 在 TCP/IP 之 上 ， 使 用 的 端口 号 是 143。 

IMAP4 同样 提供 了 方便 的 邮件 下 载 服 务 ， 让 用 户 能 进行 离线 阅读 ， 但 IMAP4 还 有 
其 他 一 些 功能 。 首 先 ，IMAP4 提供 的 摘要 浏览 功能 可 让 用 户 在 阅读 完 所 有 邮件 的 到 达 时 
间 、 主 题 、 发 件 人 、 大 小 等 信息 后 才 做 出 是 否 下 载 的 决定 ; 其 次 ， 用 户 还 可 以 享受 选择 
性 下 载 附件 服务 。 例 如 一 封 邮件 里 含有 5 个 附件 ， 用 户 可 以 选择 下 载 其 中 的 两 个 附件 ; 
第 三 ， 在 支持 离线 阅读 的 同时 ，IMAP4 既 允 许 用 户 把 邮件 存储 和 组 织 在 服务 器 上 ， 也 多 
许 用 户 把 邮箱 作为 信息 存储 工具 。 

IMAP4 协议 适用 于 C/S 构架 中 , IMAP4 协议 是 对 提供 邮件 访问 服务 且 使 用 广泛 的 
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POP3 协议 的 另 一 种 选择 ， 基 本 上 两 者 都 是 规定 个 人 计算 机 如 何 连接 到 互联 网 上 的 邮件 
服务 器 进行 收发 邮件 。 IMAP4 协议 支持 对 服务 器 上 的 邮件 进行 扩展 性 操作 , IMAP4 也 支 
持 ASCII 码 明文 传输 密码 。 

与 POP3 不 同 的 是 ，IMAP4 能 支持 离线 和 在 线 两 种 模式 来 传输 数据 : 在 离线 方式 
中 ， 客 户 端 程序 会 不 间断 地 连接 服务 器 下 载 未 阅读 过 的 邮件 到 本 地 磁盘 ， 当 客户 端 需要 
接收 或 者 发 送 邮件 时 才 会 与 服务 器 建立 连接 ， 这 就 是 离线 访问 模式 。POP3 典型 地 以 离 
线 方式 工作 。@ 在 线 模式 中 ， 一 直 都 是 由 客户 端 程序 来 操作 服务 器 上 的 邮件 ， 不 需要 像 
离线 模式 那样 把 邮件 下 载 到 本 地 才能 阅读 〈 即 使 用 户 把 邮件 下 载 到 本 地 ， 服 务 器 上 也 会 
保存 一 份 副本 , 而 不 会 像 POP 协议 那样 把 邮件 删除 )。 用 户 可 以 通过 客户 端 程序 或 者 Web 
在 线 浏 览 邮 件 。 一 些 POPS 服务 器 也 提供 了 在 线 功 能 ， 但 是 ， 它 们 没有 达到 IMAP4 的 浏 
览 功能 的 级 别 。 

IMAP4 是 分 布 式 存储 邮件 方式 ， 本 地 磁盘 上 的 邮件 状态 和 服务 器 上 的 邮件 状态 ， 可 
能 和 以 后 再 连接 时 不 一 样 。 此 时 ，IMAP4 的 分 布 式 存储 机 制 解决 了 这 个 问题 。IMAP4 
邮件 的 客户 端 软件 能 够 记录 用 户 在 本 地 的 操作 ， 当 连 上 网 络 后 会 把 这 些 操作 传送 给 服务 
器 。 当 用 户 离 线 的 时 候 服务 器 端 发 生 的 事件 ， 服 务 器 也 会 告诉 客户 端 软件 ， 比 如 有 新 邮 
件 到 达 等 ， 以 保持 服务 器 和 客户 端的 同步 。 

IMAP4 协议 处 理 线程 都 处 于 4 种 处 理 状态 的 其 中 一 种 。 大 部 分 的 IMAP4 命令 都 只 
会 在 某 种 处 理 状态 下 才 有 效 。 如 果 IMAP4 客户 端 软件 企图 在 不 恰当 的 状态 下 发 送 命 令 ， 
则 服务 器 将 返回 协议 错误 的 失败 信息 ， 如 BAD 或 NO 等 。 

总 的 来 说 , IMAP4 同时 兼顾 POP3 和 WebMail 的 优点 , 是 当前 一 种 较 好 的 通信 协议 。 
目前 支持 IMAP4 的 免费 邮件 系统 并 不 多 ， 较 常见 的 有 777 免费 电子 邮箱 〈http:/ 
mail.777.net.cn) 等 。 

IMAP4 使 用 户 可 以 对 服务 器 上 的 邮箱 进行 远程 访问 。 它 可 以 使 客户 机 和 服务 器 的 状 
态 同步 ， 并 支持 多 重文 件 夹 。 如 同 POP3 一 样 ， 邮 件 仍然 通过 SMTP 发 送 。 

典型 的 UNIX IMAP4 服务 器 提供 了 与 POP3 服务 器 相同 的 访问 方式 ， 同 时 还 增加 
了 许多 功能 。 虽 然 POP3 服务 器 已 能 满足 用 户 的 需求 ， 但 是 IMAP4 服务 器 的 应 用 也 很 
有 潜力 。 

2. IMAP4 协议 的 安全 问题 及 防护 措施 

IMAP4 能 够 支持 一 些 认证 方法 ， 并 且 有 些 方法 非常 安全 。 前 面 提 到 的 “挑战 /响应 ” 
机 制 很 有 用 ， 但 是 它 并 没有 达到 人 们 预期 的 安全 性 。 在 “挑战 /响应 ”机 制 中 使 用 了 一 个 
共享 的 秘密 ， 这 个 秘密 信息 必须 存储 在 服务 器 上 。 如 果 将 该 秘密 与 域 字符 串 进 行 杂 凑 运 
算 ， 这 对 消除 口令 的 等 值 性 可 能 会 更 有 利 。 

对 于 IMAP4 来 说 , 最 大 的 牺牲 是 协议 的 复杂 度 太 高 , 它 当然 也 需要 一 个 更 复杂 的 服 
务 器 。 如 果 该 服务 器 能 够 采用 小 而 简单 的 认证 模块 恰当 地 实现 ， 认 证 的 安全 性 将 会 得 到 
保障 。 但 是 ， 这 需要 对 服务 器 的 设计 进行 验证 。 
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3.4.10 PGP 协议 


1. 概述 

PGP (Pretty Good Privacy) 协议 是 常用 的 安全 电子 邮件 标准 之 一 。1991 SF, Phil 
Zimmermann 提出 PGP， 可 用 于 文本 、E-mail、 文 件 或 整个 磁盘 分 区 的 签署 或 加 密 ， 也 可 
用 于 提高 E-mail 通信 的 安全 性 。PGP 安全 体制 包括 5 种 服务 : 认证 、 保 密 、 压 缩 、 电 子 
邮件 兼容 性 和 分 段 。 详 细 描述 见 表 3-2。 


表 3-2 PGP 服务 概述 


功 能 使 用 算法 描 g 
数字 签名 DSS/SHA 或 消息 的 Hash WAJA SHA-1 产生 ， 将 此 消息 摘要 和 消息 一 起 
RSA/SHA 用 发 送 方 的 私 钥 按 DSS BR RSA 加密 

将 消息 用 发 送 方 生成 的 一 次 性 会 话 密 钥 按 CAST128 或 IDEA 

消息 加 密 人 OY | 或 3DES 加 密 。 用 接收 方 公 钥 按 Diffie-Hellman 或 RSA 算法 
加 密会 话 密 钥 ， 并 与 消息 一 起 加 密 

压缩 ZIP 消息 在 传送 或 存储 时 可 用 ZIP 压缩 

电子 邮件 兼 基数 64 转换 为 了 对 电子 邮件 应 用 提供 透明 性 ， 一 个 加 密 消 息 可 以 用 基数 

容 性 64 FEJ ASCII 串 

分 段 — 为 了 符合 最 大 消息 尺寸 限制 ,PGP 执行 分 段 和 重新 组 装 


2. PGP 协议 的 安全 问题 及 防护 措施 

PGP 安全 电子 邮件 能 解决 邮件 的 加 密 传输 问题 ， 验 证 发 送 者 的 身份 验证 问题 ， 错 发 
用 户 的 收 件 无 效 问 题 ， 因 而 得 到 广泛 应 用 。 但 PGP 仍然 存在 一 些 安全 问题 。 

(1) PGP 存在 公 钥 自 改 的 安全 问题 。 随 着 PG 的 普及 ， 多 用 户 系统 上 也 出 现 了 
PGP， 这 样 暴 露 明文 和 密 钥 或 口令 的 可 能 性 增 大 ， 公 和 钥 算 改 将 导致 使 用 的 公 钥 与 公 钥 持 
有 人 的 公 钥 不 一 致 ， 使 得 合法 通信 者 无 法 解密 文件 或 其 敌手 可 以 伪造 签名 。 所 以 ， 当 用 
户 使 用 别人 的 公 匙 时， 需要 保证 它 是 直接 从 对 方 处 得 来 或 是 由 另 一 个 可 信 的 人 签名 认证 
过 的 。 同 时 ， 用 户 要 保持 对 自己 密 钥 环 文件 的 物理 控制 权 ， 确 信 没 有 人 可 以 算 改 自己 的 
公 匙 环 文件 。 

(2) PGP 签名 上 的 时 间 戳 不 可 信 。 任 何 想 伪 造 一 个 “错误 ”时 间 戳 的 人 都 可 以 通过 
修改 系统 时 间 达 到 目的 。 而 在 商业 上 有 利用 PGP 签名 的 时 间 来 确认 责任 的 需要 ， 因 此 有 
必要 建立 第 三 方 的 时 间 公证 体系 ， 由 公证 方 在 邮件 上 签 上 标准 的 时 间 , 来 解决 PGP 时 间 
玲 不 可 靠 的 问题 。 目 前 ， 对 时 间 可 靠 性 有 要 求 的 场合 ， 用 户 可 以 采用 国际 标准 时 间 戳 协 
议 RFC3161 来 解决 。 

(3) PGP 的 信任 模型 存在 缺陷 。 为 从 陌生 人 那里 得 到 有 效 的 公 钥 证 书 ，PGP 中 引入 
了 介绍 人 ， 却 同时 带 来 了 信任 问题 。 因 为 在 PGP 中 , 用户 没 有 任何 依据 来 判断 一 个 人 的 
信任 等 级 ， 只 能 通过 直觉 来 对 一 个 用 户 的 信任 度 进行 设置 ， 如 果 设 置 不 当 就 会 造成 安全 
隐患 。 另 外 ，PGP 缺乏 有 效 的 证 书 管理 体系 。 证 书 为 保证 公 钥 的 真实 性 提供 了 一 种 有 效 
机 制 ， 而 在 PGP 中 证 书 的 管理 完全 由 用 户 自 己 来 完成 ， 错 误 的 信任 假设 和 管理 的 不 当 ， 
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会 影响 到 PGP 的 安全 性 。 PGP 中 虽然 提供 了 吊销 证 书 的 功能 ,， 却 没有 提供 任何 将 吊销 信 
息 通知 其 他 用 户 的 方式 , 用 户 使 用 被 吊销 的 证 书 是 件 很 危险 的 事情 , 很 有 可 能 造成 泄密 。 


3.4.11 FTP 协议 


1. 概述 

文件 传输 协议 (File Transfer Protocol, FTP) 是 TCP/IP 协议 族 中 的 重要 协议 之 一 ， 
它 是 Internet 文件 传送 的 基础 。 简 单 地 说 ，FTP 就 是 完成 两 台 计 算 机 之 间 的 复制 。 若 将 
文件 从 远程 计算 机 复制 到 本 地 的 计算 机 ， 称 为 “下 载 ”(download) 文件 ; 反之 ， 则 称 为 
“上 传 (upload)” 文 件 。 FIP 标准 命令 采用 的 TCP 端口 号 为 21, Port 方式 数据 端口 为 20。 

客户 机 首先 使 用 FTP 命令 打开 一 条 通 往 服务 器 的 控制 通道 。 然 后 ， 服 务 器 与 客户 机 
之 间 可 以 通过 两 种 模式 打开 数据 通道 。 在 主动 (Port) 模式 中 ， 客 户 机 通过 PORT 命令 
将 一 个 随机 的 端口 号 通知 服务 器 , 服务 器 随后 通过 20 号 端口 呼叫 客户 机 的 指定 端口 建立 
数据 连接 。 在 被 动 (PASV) 模式 中 ， 客 户 机 向 服务 器 发 送 一 条 PASV 命令 ， 服 务 器 随机 
选择 一 个 端口 号 并 通知 客户 机 ， 从 而 建立 数据 连接 。 


2. FTP 协议 的 安全 问题 及 防护 措施 

(1) 使 用 PORT 命令 会 引起 一 系列 安全 问题 。 首 先 ， 主 动 模式 是 由 服务 器 主动 对 客 
户 机 进行 连接 。 一 旦 这 个 连接 受到 黑客 的 攻击 ， 那 么 防火 墙 无 法 对 其 作出 正确 的 处 理 。 
其 次 ， 使 用 PORT 命令 还 可 能 引起 FTP 反弹 攻击 (FTP Bounce Attack)。 由 于 客户 机 在 
PORT 命令 中 发 送 了 自己 的 卫 和 端口 号 ， 攻 击 者 能 够 对 该 客户 机 的 端口 进行 扫描 。 采 用 
这 种 攻击 方式 ， 攻 击 者 能 够 打开 一 条 通 往 任意 一 台 机 器 的 通道 。 

(2) 攻击 者 可 以 将 Java 程序 伪装 成 FTP 客户 机 从 而 发 动 攻击 。 例 如 ， 假 设 攻击 者 希 
望 连 接 到 防火 墙 后 面 某 台 机 器 的 Telnet 端口 ,那么 他 会 设法 将 这 个 Java 程序 嵌入 到 目标 
Web 页 面 文件 中 。 当 有 人 在 该 站 点 上 运行 此 Java 程序 时 ， 它 就 会 打开 一 条 通 往 Web 页 
面 的 FTP 连接 。 只 要 伪装 的 FIP 客户 机 发 出 一 条 PORT 命令 , 指明 采用 23 号 端口 Telnet 
到 目标 主机 上 ， 此 时 防火 墙 就 会 打开 该 端口 。 

(3) 访问 FTP 服务 器 要 使 用 口令 登录 ， 但 是 该 口令 能 够 很 容易 地 被 探测 或 猜测 到 。 
在 运行 FTP 协议 时 ， 客 户 机 与 服务 器 之 间 的 消息 (包括 口令 ) 是 以 明文 的 形式 传输 的 ， 
这 就 导致 了 泄露 口令 的 风险 。 

(4) 在 ftpd 守护 程序 中 ， 历 史上 存在 很 多 缺陷 ， 而 这 些 缺 陷 可 能 导致 严重 的 安全 漏 
洞 。 例 如 ，ftpd 守护 程序 开始 时 以 root 用 户 权限 运行 ， 但 它 不 能 在 登录 后 掩盖 其 特权 用 
户 身份 。 

对 于 以 上 安全 问题 ， 可 以 采取 一 些 防护 措施 。 为 了 避免 使 用 PORT 命令 造成 的 安全 
问题 ， 现 在 ，Internet 上 大 多 数 的 FTP 服务 器 和 主流 浏览 器 都 支持 PASV 命令 。 如果 FTP 
使 用 PASV 命令 ， 那 么 在 配置 防火 墙 的 安全 措施 时 ， 就 可 以 禁止 所 有 进入 的 TCP 连接 。 
除 此 之 外 ， 为 了 防止 泄露 口令 ， 可 以 使 用 密 文 来 传输 用 户 名 和 口令 。 
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3.4.12 TFTP 协议 


1. 概述 

简单 文件 传输 协议 (Trivial File Transfer Protocol, TFTP) 是 用 来 在 客户 机 与 服务 器 
之 间 进 行 简单 文件 传输 的 协议 ， 提 供 不 复 杂 、 开 销 不 大 的 文件 传输 服务 。TFTP 承载 在 
UDP 上 ,提供 不 可 靠 的 数据 流传 输 服务 ， 不 提供 存 取 授权 与 认证 机 制 ， 使 用 超时 重 传 方 
式 来 保证 数据 的 到 达 。 与 FTP 相 比 ，TFTP 要 小 得 多 。 现在 最 普遍 使 用 的 是 第 2 版 TFTP 
(TFTP Version 2，RFC 1350)。TFTP 服务 使 用 UDP 69 端口 。 


2. TFTP 协议 的 安全 问题 及 防护 措施 

TFTP 协议 比较 简单 ， 因 为 它 只 提供 文件 传输 而 不 能 验证 文件 是 否 成 功 传 送 。 由 于 
在 可 靠 性 与 安全 性 上 没有 保证 ， 所 以 它 的 应 用 没有 像 FTP 一 样 普及 。 不 过 由 于 它 不 用 消 
耗 太 多 的 网 络 资源 用 于 传输 数据 ， 所 以 TFTP 常用 于 一 些 对 连接 的 安全 性 要 求 不 高 的 场 
合 。 它 常用 于 启动 路 由 器 、 无 盘 工 作 站 、X11 终端 和 嵌入 式 设 备 等 。 适 当 配置 TFTP F 
护 程序 ， 可 以 限制 客户 端 只 能 访问 服务 器 端的 一 个 或 两 个 目录 ， 这 两 个 目录 通常 为 
usr/local/boot 和 X11 字库 。 但 在 过 去 ， 许 多 厂商 发 布 的 TFTP 软件 并 不 限制 访问 服务 器 
端的 任何 目录 ， 黑 客 能 轻易 地 利用 它 从事 非 法 活动 。 下 面 就 是 黑客 实施 口令 破解 攻击 的 
一 个 实例 。 


$ tftp target.cs.boofhead.edu 

tftp> get /etc/passwd /tmp/passwd 

Received 1205 bytes in 0.5 seconds 

Tftp> quit 

$crack </tmp/passwd 

我 们 知道 , 现在 网 络 上 存在 很 多 用 来 进行 口令 破解 的 “字典 ”。 如果 采 用 一 个 普通 字 
典 猜 对 口令 的 概率 是 25%， 那 么 攻击 者 就 很 容易 攻破 一 台 机 器 。 同 时 ， 与 该 机 器 相连 的 
其 他 机 器 也 难 逃 厄运 。 因 此 ， 除 非 真 的 需要 此 协议 ， 否 则 不 应 该 在 任何 机 器 上 运行 该 协 
议 。 如 果 所 使 用 的 机 器 上 确实 已 经 安装 了 此 协议 ， 则 应 确保 对 它 进行 正确 配置 ， 只 允许 
那些 符合 访问 控制 策略 的 文件 进行 传送 。 很 多 路 由 器 〈 特 别 是 低 端的 路 由 器 ) 都 使 用 
TFTP 上 传 可 执行 的 映像 文件 或 配置 文件 。 上 传 配置 文件 特别 危险 ， 因 为 精明 的 黑客 可 
能 上 传 伪造 的 文件 (即使 伪造 文件 很 困难 ), 并 通过 配置 文件 中 所 包含 的 口令 对 系统 发 起 
攻击 。 因 为 TFTP 的 安全 问题 ， 所 以 即便 用 TFTP 也 往往 只 开放 其 下 载 权 限 而 不 分 配 上 
传 权 限 。 


3.4.13 NFS 协议 


1. 概述 

NFS (Network File System) 即 网 络 文件 系统 ， 是 一 个 基于 TCP/IP 网 络 的 文件 共享 
HN. NFS 协议 允许 一 个 系统 在 网 络 上 与 他 人 共享 目录 和 文件 。 通 过 使 用 NFS 协议 , 用 
户 和 程序 可 以 像 访问 本 地 文件 一 样 访问 远 端 系统 上 的 文件 ， 在 远 端 系统 的 共享 磁盘 上 进 
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行 诸如 修改 、 删 除 和 创建 文件 操作 。NFS 协议 采用 基于 远程 过 程 调 用 (RPC) 的 分 布 式 
文件 系统 结构 ， 客 户 机 可 以 很 方便 地 请 求 服务 器 系统 的 远程 执行 。 目 前 ，RPC 已 经 得 到 
很 多 操作 系统 的 支持 ， 包 括 Solaris, Linux 及 Microsoft Windows. 

2. NFS 协议 的 安全 问题 及 防护 措施 

(1) NES 没有 用 户 验 证 机 制 ， 只 验证 RPC/Mount (句柄 加 载 ) HAR. NFS 协议 采用 
的 基本 工具 是 文件 句柄 。 文 件 句 柄 是 一 个 能 够 识别 磁盘 上 所 有 文件 和 目录 的 独特 字符 
串 。 所 有 的 NES 请 求 都 使 用 文件 句柄 、 操 作 和 与 此 操作 有 关 的 一 些 参 数 加 以 描述 。 大 
多 数 文件 句柄 中 还 包含 一 个 随机 数 ， 由 伪 随 机 数 生成 器 产生 (有些 旧 版 本 的 NES 所 使 用 
的 随机 数 的 随机 性 不 足 ， 因 此 种 子 密 钥 是 可 预测 的 )。 文 件 系 统 根 目录 (Root Directory) 
的 初始 句柄 在 加 载 (mount) 时 获得 。 任意 一 台 持 有 根 文件 句柄 的 客户 机 都 具有 访问 该 文 
件 系统 的 永久 权限 ， 然 而 服务 器 并 没有 对 每 次 操作 都 强制 验证 客户 端的 访问 控制 权限 。 
因此 ，NFS 这 种 基于 加 载 的 访问 控制 是 非常 不 恰当 的 。 

(2) NFS 服务 器 使 用 的 2049 端口 号 在 选择 上 存在 问题 。 该 端口 号 处 于 “无 特权 的 ” 
范围 内 ， 而 该 范围 的 端口 一 般 应 该 分 配给 那些 普通 的 进程 。 因 此 ， 必 须 对 包 过 滤器 做 适 
当 配 置 ， 以 阻止 UDP 会 话 访问 2049 号 端口 。 还 有 些 版 本 的 NFS 使 用 了 随机 的 端口 , 采 
用 rpcbind 提供 地 址 信息 。 

(3) NFS 恶意 客户 机 可 对 服务 器 实施 拒绝 服务 攻击 。 某 个 具有 访问 服务 器 优先 权 或 
能 伪造 返回 数据 包 的 客户 机 ， 有 可 能 创建 一 个 setuid 程序 或 创建 一 个 设备 文件 。 它 会 不 
停 地 取消 或 打开 它 与 服务 器 的 连接 ， 从 而 影响 到 其 他 客户 机 对 服务 器 的 正常 访问 。 有 些 
NES 客户 端 含有 禁止 这 种 行为 的 选项 如果 你 的 客户 机 从 不 可 信 的 资源 加 载 了 文件 系统 
切记 要 利用 这 些 选项 。 

(4) NES 服务 器 可 对 客户 机 植 入 可 以 程序 。 通 过 NFS 浏览 文档 时 ， 会 出 现 一 个 更 加 
敏感 的 问题 。 对 于 服务 器 来 说 ， 要 在 客户 机 上 植 入 某 种 恶意 的 程序 (如 ls) 非常 容易 ， 
这 种 程序 很 可 能 用 于 某 些 非法 操作 。 对 于 客户 机 来 说 ， 最 佳 的 防护 是 对 所 有 外 来 的 文件 
进行 检查 ， 删 除 那 些 可 执行 的 代码 。 


3.4.14 SNMP 协议 


1. 概述 

简单 网 络 管理 协议 〈Simple Network Management Protocol, SNMP) 是 为 了 解决 
Internet 上 的 路 由 管理 问题 而 提出 ， 被 应 用 于 支持 网 络 管理 系统 ， 以 监测 连接 到 网 络 上 的 
设备 是 否 有 任何 引起 管理 上 关注 的 情况 。 简 单 网 络 管理 协议 模型 由 4 部 分 组 成 : 管理 节 
点 、 管 理 站 、 管 理 信 息 库 和 管理 协议 。SNMP 协议 的 应 用 范围 非常 广泛 ， 被 应 用 于 诸多 
种 类 的 网 络 设备 、 软 件 和 系统 中 ， 并 被 认为 是 网 络 设备 厂商 、 应 用 软件 开发 者 及 终端 用 
户 的 首选 管理 协议 。SNMP 的 主要 作用 是 控制 路 由 器 、 网 桥 及 其 他 网 络 单元 ， 用 来 读 / 
写 各 种 设备 信息 ,如 操作 系统 、 版 本 、 路 由 表 、 默 认 的 TTL、 流量 统计 、 接口 名 称 和 ARP 
映射 表 等 ， 其 中 有 些 信息 是 非常 敏感 的 。 例 如 ， 出 于 商业 原因 ， 许 多 ISP 会 对 其 流量 统 
计 信 息 严 加 保护 。 
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2. SNMP 协议 的 安全 问题 及 防护 措施 

SNMP 协议 已 有 3 个 版 本 ， 分 别 为 SNMPv1. v2. v3. SNMPv1l. v2 的 安全 性 问题 
主要 为 : 

(1) SNMPv1、v2 中 ， 因 其 代理 可 被 多 个 管理 站 管理 ， 被 管 设备 鉴别 管理 站 合法 性 
是 通过 团体 名 和 源 地 址 检查 实现 的 ， 团 体 名 为 固定 长 度 字符 串 ， 因 而 容易 被 攻击 者 采用 
穷 举 等 办 法 破解 ; 

(2) SNMP 数据 被 封装 在 UDP 中 传输 ， 攻 击 者 通过 嗅 探 监听 ,捕获 管理 站 与 被 管 设 
备 之 间 交 互信 息 ， 即 可 获得 SNMP 消息 中 的 明文 团体 名 ; 

(3) 攻击 者 通过 嗅 探 监 听 截 获 管理 站 发 往 被 管 系统 的 管理 消息 后 ， 通 过 对 消息 数据 
恶意 重组 、 延 迟 和 重 放 即 可 实现 对 被 管 设备 的 攻击 由。 

与 SNMP v1、v2 相 比 ，SNMP v3 具有 更 高 的 安全 性 ， 如 增加 了 密码 学 的 认证 方式 ， 
可 选择 加 密 算法 。 最 重要 的 是 ， 它 给 不 同 用 户 授 予 了 访问 MB 的 不 同 权限 。 但 采用 密码 
认证 可 能 要 耗费 系统 资源 ， 而 路 由 器 CPU 的 计算 能 力 通常 比较 弱 ， 也 带 来 了 很 大 制约 。 

SNMPv1、v2 由 于 缺少 鉴别 和 加 密 机 制 ， 通 常 采用 如 下 防护 措施 : 

(1) 在 不 必要 情况 下 关闭 SNMP 代理 ， 不 提供 SNMP 服务 PDB] 

(2) 修改 设备 缺失 的 团体 名 ， 设 置 为 相对 复杂 的 SNMP 团体 名 ; 

G) 管理 站 IP 地 址 限定 ， 只 有 SNMP 管理 站 的 IP 地 址 可 以 发 起 SNMP 请 求 ; 

(4) 设置 访问 控制 ， 限 制 被 管 设备 利用 TFTP，FTP 和 RCP 等 方式 下 载 上 传 文件 。 

SNMPv3 的 认证 和 加 密 机 制 完 善 ， 攻 击 者 难以 通过 截取 数据 包 获取 信息 ， 或 进行 加 
工 重 放 攻 击 , 安全 性 较 好 。 但 大 量 的 加 解密 运算 会 占用 大 量 的 CPU 和 内 存 ， 使 其 推广 使 
用 受到 限制 。 


3.4.15 DHCP 协议 


1. 概述 

动态 主机 配置 协议 (Dynamic Host Configuration Protocol, DHCP) 用 来 分 配 IP 地 址 ， 
并 提供 启动 计算 机 或 唤醒 一 个 新 网 络 ) 的 其 他 信息 。 处 于 启动 状态 的 客户 机 发 送 UDP 
广播 数据 包 ， 服 务 器 会 对 查询 做 出 响应 。 这 些 查 询 信 息 可 以 使 用 中 继 程 序 向 前 传递 到 其 
他 网 络 。 服 务 器 会 给 主机 分 配 一 个 固定 的 他 地址 。 

DHCP 提供 了 一 种 动态 指定 IP 地 址 和 配置 参数 的 机 制 , 这 主要 用 于 大 型 网 络 环境 和 
配置 比较 困难 的 情况 。 DACP 的 配置 参数 使 得 网 络 上 的 计算 机 通信 变 得 方便 且 容 易 实现 。 
DHCP 使 用 户 可 以 租用 IP 地 址 ， 对 于 拥有 成 百 上 千 台 计算 机 的 大 型 网 络 来 说 ， 每 台 计 算 
机 拥有 一 个 人 P 地 址 有 时 是 不 必要 的 。IP 地 址 采用 “租约 ”的 方式 ， 租 期 从 1 分 钟 到 100 
年 不 定 。 当 租 期 已 满 时 ， 服 务 器 可 以 把 这 个 P 地 址 分 配给 其 他 机 器 使 用 。 当 然 ， 客 户 也 
可 以 请 求 使 用 自己 喜欢 的 网 络 地 址 及 相应 的 配置 参数 。 

DHCP 能 够 提供 大 量 的 信息 一 一 域名 服务 器 地 址 、 默 认 的 路 由 地 址 、 默 认 的 域名 及 
客户 机 的 IP 地 址 ， 许 多 应 用 都 将 使 用 这 些 信 息 。 它 还 可 以 提供 其 他 一 些 设 备 地 址 ， 如 网 
络 时 间 服 务 器 的 地 址 等 。 

DHCP 服务 器 能 对 IP 地 址 提供 集中 化 的 管理 ， 简 化 了 管理 任务 。 动 态 IP 地 址 分 配 
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仅 保留 了 有 限 的 IP 地 址 使 用 空间 。 它 可 以 很 容易 地 为 便携 式 计算 机 分 配 P 地 址 。 例 如 ， 
人 们 在 咖啡 馆 或 机 场 候 机 厅 无 线 上 网 时 ， 就 必须 使 用 这 个 协议 。 


2. NTP 协议 的 安全 问题 及 防护 措施 

处 于 安全 性 的 考虑 ， 此 协议 只 能 在 本 地 网 络 上 使 用 。 这 是 因为 ， 启 动 状态 的 主机 尚 
不 知道 自身 的 他 地 址 , 所 以 DHCP 服务 器 必须 将 查询 响应 传送 到 它 的 第 二 层 地 址 , 即 它 
的 以 太 网 地 址 。 要 做 到 这 一 点 ，DHCP 服务 器 要 么 在 自己 的 ARP 表 添 加 一 个 映射 ,要么 
发 送 一 个 纯 第 二 层 的 数据 包 给 客户 机 。 总 之 ，DHCP 服务 器 和 客户 机 均 需 要 直接 接 入 本 
地 网 络 。 由 于 远程 的 攻击 者 无 法 接 入 本 地 网 络 ， 因 此 也 无 法 对 DHCP 服务 器 发 起 远程 
攻击 。 

由 于 DHCP 服务 器 通常 没有 对 查询 信息 进行 认证 ， 所 以 查询 响应 容易 受到 中 间 人 攻 
击 和 拒绝 服务 (DoS) 攻击 。 但 是 ， 如 果 攻 击 者 已 经 接 入 到 本 地 网 络 ， 那 么 他 就 可 以 发 
Z) ARP 欺骗 攻击 。 既 然 远程 攻击 者 接 入 本 地 网 络 的 可 能 性 不 大 ， 这 就 意味 着 运行 DHCP 
带 来 的 风险 并 不 大 。 当 DHCP 服务 器 与 DNS 服务 器 接口 时 ， 需 要 建立 一 条 从 DHCP 服 
务 器 到 DNS 服务 器 的 安全 连接 ， 这 通常 采用 对 称 密 钥 加 密 算法 生成 SIG 签名 记录 来 实 
现 。 考 虑 到 DHCP 客户 端的 IP 地 址 包含 在 DHCP 审核 记录 日 志 里 ， 这 就 提供 了 对 拒绝 
服务 攻击 源 进 行 跟踪 的 能 力 。 因 此 ，DHCP 日 志 可 以 用 作法 庭 上 的 重要 证 据 。 在 进行 卫 
地 址 动态 分 配 的 时 候 ， 需 要 知道 在 某 个 给 定 的 时 刻 ， 哪 个 硬件 设备 使 用 了 哪个 P 地 址 ， 
而 日 志 中 所 记录 的 以 太 网 地 址 是 非常 有 用 的 。 当 计算 机 犯罪 事件 发 生 时 ， 网 警 将 会 设法 
取得 ISP 的 DHCP 日 志 进 行 分 析 ， 并 取得 相应 的 以 太 网 地 址 。 

此 外 , 攻击 者 可 用 假冒 的 DHCP 服务 器 压制 合法 的 DHCP 服务 器 ,对 查询 提供 响应 
并 导致 各 种 类 型 的 攻击 。 这 些 假 冒 的 服务 器 会 模仿 不 同 的 以 太 地 址 向 合法 的 服务 器 发 出 
大 量 请 求 。 合 法 的 服务 器 就 会 被 这 些 查询 请 求 淹没 ， 全 部 可 用 的 IP 地 址 会 被 消耗 列 尽 。 
所 以 ， 需 要 确保 未 经 授权 的 人 员 没 有 对 网 络 进行 物理 访问 或 无 线 访问 的 权限 ， 限 制 管理 
组 的 成 员 身 份 ， 将 管理 服务 器 所 必需 的 用 户 减 少 到 最 小 数量 。 


3.4.16 H.323 协议 


1. 概述 

H.323 是 由 ITU-T 于 1996 年 提出 的 用 于 VoIP (Voice over Internet Protocol, {#* IP 
电话 ) 的 一 套 标 准 ， 为 分 组 网 提供 实时 音频 、 视 频 和 数据 通信 的 标准 ， 为 语音 通信 、 视 
频 通信 、 传 真 及 其 他 数据 业务 提供 支持 。 该 标准 详细 描述 了 用 于 包 交 换 网 络 的 多 媒体 通 
信 系 统 及 其 组 成 单元 ， 并 规定 了 各 单元 之 间 的 通信 过 程 。 由 于 H.323 标准 的 工作 方式 符 
E VoIP 技术 的 要 求 和 标准 ， 并 具有 灵活 性 高 、 兼 容 性 好 、 资 源 需 求 少 等 优势 ， 已 逐步 发 
展 为 目前 在 分 组 网 上 支持 语音 、 图 像 和 数据 业务 最 成 熟 、 应 用 最 广泛 的 VoIP 标准 。 

2. H.323 协议 的 安全 问题 及 防护 措施 

虽然 基于 H.323 标准 的 VoIP 产品 在 互联 网 上 得 到 广泛 应 用 , 但 是 其 在 安全 性 方面 却 
存在 不 少 隐患 。 由 于 H323 会 话 的 建立 需要 经 过 若干 步骤 ， 由 各 个 组 件 相互 配合 共同 完 
成 ， 因 此 在 其 通信 的 某 些 阶段 留 下 安全 隐患 。 另 外 ， 考 虑 到 H.323 产品 组 件 具体 实现 的 
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不 同 ， 其 所 拥有 的 系统 资源 、 处 理 错 误 输入 的 机 制 也 有 所 不 同 ， 也 导致 了 某 些 安全 问题 。 
目前 H.323 的 主要 安全 隐患 有 拒绝 服务 、 注 册 劫持 和 会 话 中 断 等 。 

A) 拒绝 服务 。 在 H.323 产品 的 通信 过 程 中 ， 需 要 终端 开放 特定 端口 时 刻 处 于 监听 
状态 ， 因 此 给 拒绝 服务 攻击 创造 了 条 件 ， 恶 意 用 户 可 向 某 一 目标 终端 大 量 、 密 集 地 发 送 
数据 包 ， 导 致 该 终端 的 资源 耗 尽 而 无 法 响应 其 他 合法 用 户 。 

(2) 注册 劫持 。 攻 击 者 在 终端 注册 环节 抓 包 截取 被 冒 用 用 户 的 标识 信息 ， 再 向 网 关 
发 送 “ 取 消 注册 ”消息 解除 合法 用 户 的 注册 ， 最 后 使 用 窃取 到 的 标识 信息 向 网 关 进行 注 
册 ， 冒 用 该 用 户 的 身份 。 

G) 会 话 中 断 。 由 于 终端 之 间 用 于 会 话 控制 和 管理 的 相关 指令 以 明文 传送 ， 并 且 不 
对 消息 的 来 源 进行 过 多 的 确认 , 因此 攻击 者 可 以 通过 抓 包 获 取 终 端 标识 及 其 他 有 用 信息 ， 
填 入 自己 伪造 的 结束 会 话 命令 构造 攻击 数据 包 ， 强 制 中 断 合 法 用 户 的 会 话 。 

为 保证 H.323 的 安全 性 ，ITU-T 提出 了 H.325 建议 ， 为 协议 制订 了 认证 、 保 密 性 和 
完整 性 的 安全 体系 。 如 通过 口令 和 对 称 加 密 认证 算法 来 进行 身份 认证 和 完整 性 检查 ， 通 
过 IPSec 安全 隧道 保证 呼叫 信 令 安全 ， 使 用 协商 的 密 钥 进行 加 密 ， 避 免 语 言 窃听 和 语音 
干扰 等 。 


3.4.17 SIP 协议 


1. 概述 

会 话 启动 协议 (Session Initiation Protocol, SIP) 是 一 个 复杂 通信 协议 ， 它 是 由 IETF 
制定 的 基于 文本 编码 的 多 媒体 通信 协议 。 会话 主 叫 方 使 用 SIP 协议 定位 IP 网 络 上 的 被 叫 
方 ， 用 于 建立 、 修 改 并 终止 一 个 或 多 个 参与 者 的 多 媒体 会 话 。 它 使 用 户 的 通信 系统 更 加 
开放 ， 使 用 更 加 便捷 ， 选 择 更 加 多 样 ， 也 更 为 个 性 化 。 

SIP 虽然 很 复杂 ， 但 与 H.323 相 比 却 要 简单 得 多 。 它 采用 ASCII 对 消息 编码 ， 语 法 
上 很 像 HTTP。 它 甚至 可 以 使 用 MIME 和 S/MIME 数据 类 型 进行 数据 传输 。 

SIP 电话 可 以 是 实体 到 实体 (peer-to-peer) 的 ， 但 它 也 有 像 H.323 一 样 的 代理 程序 。 
尽管 实际 的 数据 直接 在 两 个 (或 多 个 ) 端点 之 间 传 输 ， 但 这 些 代理 可 以 简化 SIP 电话 穿 过 
防火 墙 的 进程 。SIP 也 提供 了 很 强 的 安全 性 ， 也 许 正 因为 安全 性 太 好 ， 在 某 些 情况 下 ， 它 会 
对 应 用 级 网 关 防 火 墙 重 写 消息 造成 干扰 ， 使 语音 数据 流 不 容易 穿 过 应 用 级 网 关 防 火 墙 。 


2. SIP 协议 的 安全 问题 及 防护 措施 

SIP 实体 主要 由 4 部 分 组 成 : SIP 用 户 代理 (User Agent, UA)、SIP 注册 服务 器 
(Register Server), SIP 代理 服务 器 (Proxy Server) 和 SIP 重 定向 服务 器 (Redirect Server). 
由 于 SIP 协议 采用 文本 形式 表示 消息 的 词法 和 语法 ， 对 文本 形式 的 分 析 比 较 简单 ， 使 得 
SP 会 话 容易 遭受 安全 问题 ， 包 括 欺骗 、 会 话 截获 和 窃听 等 问题 。 目 前 ，SIP 协议 存在 的 
安全 隐患 主要 有 以 下 几 方 面 。 

(1) 注册 劫持 。 当 用 户 在 终端 将 自己 的 信息 注册 到 某 个 注册 服务 器 上 ， 注 册 服 务 器 
可 根据 字段 找到 该 用 户 地 址 , 并 从 From 字段 确定 消息 能 和 否 修改 用 户 的 注册 地 址 。 但 From 
字段 有 可 能 被 UA 拥有 者 修改 ， 使 得 恶意 修改 注册 信息 成 为 可 能 。 
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(2) 伪装 服务 器 。 恶 意 攻 击 者 将 自己 伪装 成 远 端 服 务 器 ， 使 得 用 户 代 理 终端 UA 错 
误 地 被 截获 。 

G) 算 改 消息 。 自 改 消息 分 为 自 改 SP 消息 体 和 自 改 SIP 消息 头 字段 两 种 。 自 改 SIP 
消息 体 是 指 攻 击 者 修改 SIP 消息 的 加 密 密 钥 ， 一 旦 注册 服务 器 有 恶意 存在 ， 就 可 以 像 中 
间 人 一 样 修改 会 话 密 钥 ， 从 而 破坏 原始 请 求 UA 安全 。 同 时 ， 为 了 保护 一 些 重要 的 SIP 消 
息 头 字 段 ，UA 要 加 密 SP 包 体 ， 并 对 端 到 端 之 间 的 头 字 段 做 限制 ， 防 止 攻击 者 的 算 改 。 

(4) 恶意 修改 或 结束 对 话 。 攻 击 者 伪造 BYE 请 求 结束 对 话 ， 使 得 会 话 被 提前 结束 。 

G) 拒绝 服务 。 攻 击 者 通过 转发 网 路 通讯 堵塞 网 络 接口 ， 使 得 某 个 特定 的 网 络 节点 
不 能 正常 工作 。 

针对 以 上 的 安全 隐患 ，SIP 协议 制定 了 安全 策略 以 保证 信息 的 保密 性 和 完整 性 。 

(1) 网 络 层 和 传输 层 的 安全 保护 。 利 用 网 络 层 IPSec、 传 输 层 TLS 等 加 密 SIP 消息 ， 
传输 过 程 中 通过 TLS 套 接口 ， 保 证 消息 的 可 靠 性 和 机 密 性 。 

(2) HTTP 摘要 认证 。SIP 协议 常 采 用 HTTP 摘要 认证 机 制 完成 身份 的 认证 ，HTTP 
摘要 认证 可 由 唯一 确定 的 用 户 名 及 密码 认证 一 个 用 户 ， 其 认证 机 制 主要 有 Proxy-to-User 
和 User-to-User 两 种 模式 。 

G) 应 用 层 端 到 端 加 密 。SIP 协议 利用 PGP 加 密 方式 和 S/MIME 加 密 方式 来 完成 应 
用 层 端 到 端的 加 密 ， 实 现 数字 签名 、 鉴 别 以 及 保密 的 功能 。 


3.4.18 NTP 协议 


1. 概述 

网 络 时 间 协 议 (Network Time Protocol, NTP) 是 用 来 在 分 布 式 时 间 服 务 器 和 客户 端 
之 间 进 行 时 间 同 步 ， 使 网 络 内 所 有 设备 的 时 钟 保 持 一 致 ， 从 而 使 设备 能 够 提供 基于 统一 
时 间 的 多 种 应 用 。NTP 基于 UDP 报 文 进行 传输 ， 使 用 的 UDP 端口 号 为 123 。 该 协议 是 
依然 运行 在 当前 网 络 环境 中 最 古老 的 协议 之 一 ， 截 至 2016 年 ， 协 议 最 新 的 版 本 NTPv4 
已 经 被 收录 在 RFC 5905 中 。 

NTP 主要 应 用 于 需要 网 络 中 所 有 设备 时 钟 保持 一 致 的 场合 ， 例 如 : 

(1) 在 网 络 管理 中 ， 对 于 从 不 同 设备 采集 来 的 日 志 信息 、 调 试 信息 进行 分 析 的 时 候 ， 
需要 一 个 统一 的 时 间作 为 参照 依据 。 

(2) 计 费 系统 要 求 所 有 设备 的 时 钟 保持 一 致 。 

G) 定时 重启 网 络 中 的 所 有 设备 时 ， 要 求 所 有 设备 的 时 钟 保持 一 致 。 

(4) 多 个 系统 协同 处 理 同一 个 比较 复杂 的 事件 时 ， 为 保证 正确 的 执行 顺序 ， 多 个 系 
统 必 须 参考 同一 时 钟 。 

(5) 在 备份 服务 器 和 客户 端 之 间 进 行 增 量 备份 时 ， 要 求 备份 服务 器 和 所 有 客户 端 之 
间 的 时 钟 保持 一 致 。 


2. NTP 协议 的 安全 问题 及 防护 措施 
NTP 协议 是 横 跨 多 系统 平台 的 基础 网 络 协议 , NTP 协议 的 安全 对 系统 应 用 的 安全 有 
着 重要 的 影响 。 一旦 NTP 服务 失效 , 需要 时 间 同 步 的 相应 系统 服务 都 会 失败 。 因 此 NTP 
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服务 器 自身 可 能 成 为 各 种 攻击 的 目标 。 一 旦 NTP 服务 器 受到 攻击 , 通过 该 服务 器 获取 时 
间 同 步 的 系统 应 用 都 会 受到 影响 。 除 此 之 外 ，NTP 也 常常 作为 其 他 网 络 攻 击 手段 的 重要 
辅助 手段 之 一 。 常 见 的 攻击 手段 有 以 下 几 种 : 

(1) 针对 TLS/SSL 协议 ， 攻 击 者 会 考虑 利用 NTP 协议 ， 修 改 被 攻击 者 的 系统 时 间 ， 
以 此 将 过 期 证 书 或 已 撤销 证 书 变 为 有 效 证 书 ， 达 到 欺骗 目的 。 

(2) 针对 DNS 服务 器 ， 攻 击 者 利用 NTP 协议 ， 修 改 被 攻击 设备 的 系统 时 间 ， 造 成 
所 有 连接 DNSSEC 服务 器 的 用 户 密 钥 和 签名 失效 , 破坏 DNS 服务 。 除 此 之 外 , 针对 DNS 
服务 器 缓存 存储 域名 的 时 间 周 期 为 24 小 时 的 特点 ,通过 大 范围 的 NTP 失效 迫使 大 量 DNS 
服务 器 同时 刷新 缓存 ， 引 发 网 络 洪 泛 攻击 。 

G) 针对 认证 服务 ， 通 常 认证 服务 需要 认证 信息 携带 时 间 戳 以 防止 重 放 攻击 ， 然 而 
利用 NTP 协议 攻击 ， 能 够 绕 过 时 间 戳 检验 ， 达 到 发 动 重 放 攻击 的 目的 。 

(4) 利用 NTP 服务 器 收 到 monlist 请 求 后 最 多 会 返回 100 个 响应 包 的 特性 ， 攻 击 者 
伪造 受害 主机 的 IP 地 址 向 NTP 服务 器 不 断 发 送 monlist 请 求 ， 以 此 利用 NTP 服务 器 向 
受害 主机 返回 大 量 的 数据 包 从 而 造成 其 网 络 拥塞 ， 达 到 DDoS 攻击 特定 目标 的 目的 。 

为 了 抵御 这 些 攻击 , 新 版 本 的 NTP 服务 器 软件 能 采用 密码 技术 对 消息 进行 认证 ， 以 
减少 NTP 协议 被 非法 利用 的 可 能 性 。 尽管 这 一 功能 非常 有 用 , 但 所 达到 的 效果 却 不 尽 如 
人 意 。 攻击 者 即使 不 能 与 NTP 守护 程序 直接 对 话 , 仍然 可 以 扰乱 服务 器 的 守护 程序 以 阻 
止 获 取 正 确 的 时 钟 。 换 言 之 ， 要 达到 安全 的 目的 ，NTP 服务 器 就 必须 对 本 地 时 间 源 到 其 
他 时 间 源 直至 根 时 间 源 的 连接 加 以 认证 。 管理 员 也 应 该 合理 配置 NTP 守护 程序 ， 以 拒绝 
那些 来 自 外 部 的 跟踪 请 求 。 


3.4.19 FINGER 协议 


1. 概述 

Finger 协议 最 早出 现在 BSD3.0 系统 中 ,端口 号 为 79， 是 互联 网 上 最 老 的 协议 之 一 。 
后 来 很 多 UNIX 系统 使 用 了 这 个 协议 , fedora core 3 系统 也 有 Finger 的 客户 端 ,但 是 fedora 
core 3 系统 在 默认 情况 下 是 关闭 远程 Finger IRSA. Finger 协议 可 以 帮助 用 户 查询 系统 
中 某 一 个 用 户 的 细节 ， 如 用 户 名 、 地 址 、 电 话 和 登录 时 间 等 。Finger 协议 用 于 查找 主机 
及 其 网 络 上 的 用 户 信息 ， 可 以 查询 站 点 的 在 线 用 户 清单 及 其 他 一 些 有 用 的 信息 。 根 据 
RFC1288，Finger 是 基于 传输 控制 的 协议 。 在 本 地 主机 打开 一 个 远程 主机 在 Finger 端口 
的 连接 。 使 远程 主机 的 RUIP《〈 远 程 用 户 信息 程序 ) 变 成 有 效 来 处 理 该 请 求 。 本 地 主机 发 
送 给 RUIP 一 行 基于 Finger 查询 说 明 的 请 求 ， 然 后 等 待 RUIP 的 响应 。RUIP 接收 和 处 理 
这 个 请 求 后 ， 返 回应 答 ， 然 后 发 起 连接 的 关闭 。 本 地 主机 接收 到 应 答 和 关闭 信号 后 ， 执 
行 本 地 端的 关闭 ， 协 议 执行 完毕 。 

2. FINGER 协议 的 安全 问题 及 防护 措施 

由 于 安全 性 较 低 ， 现 在 很 多 主机 都 关闭 了 这 项 服务 。 不 过 互联 网 上 仍然 有 相当 数量 
的 主机 在 继续 提供 Finger 服务 ， 但 Finger 服务 却 给 网 络 安全 带 来 了 很 大 的 危害 。 由 于 
Finger 服务 一 般 都 是 提供 在 线 用 户 的 用 户 名 ， 因 此 入 侵 者 通过 Finger 服务 可 以 轻松 地 取 
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得 有 效用 户 名 列表 。 如 果 耐 心地 多 试 几 次 ， 基 本 上 可 以 得 到 大 部 分 的 用 户 名 ， 然 后 黑客 
可 以 使 用 暴力 密码 破解 器 ， 往 往 能 在 较 短 的 时 间 里 得 到 一 个 有 效 的 用 户 “ 身 份 ” 如 FTP 
权限 和 Telnet 权限 ， 甚 至 得 到 一 个 有 写 权限 的 账号 。 那 么 黑客 以 此 作为 进一步 行动 的 跳 
板 ， 所 以 也 可 以 说 ， 使 用 Finger 就 等 于 是 开门 指 盗 。 利 用 Finger 服务 可 以 取得 用 户 的 登 
录 时 间 ， 查 看 邮件 时 间 等 有 用 的 信息 ， 这 个 也 是 一 般 入 侵 者 所 关注 的 重要 信息 ， 因 为 可 
以 了 解 用 户 的 登录 时 间 和 习惯 ， 有 利于 隐藏 行踪 。Farmer 和 Venema 曾 这 样 评价 Finger 
协议 : 这 是 一 种 最 危险 的 服务 ， 它 可 以 被 黑客 用 来 调查 并 发 现 潜在 的 攻击 目标 。 它 所 提 
供 的 信息 ， 很 可 能 被 黑客 用 来 实施 口令 猜测 攻击 。 黑 客 还 可 以 从 这 些 信 息 中 发 现 用 户 最 
近 与 哪个 实体 相连 ， 这 个 实体 可 能 成 为 潜在 的 攻击 目标 ; 黑客 还 可 以 发 现 用 户 最 后 使 用 
的 是 哪个 账号 。 黑 客 对 那些 很 少 使 用 的 账号 非常 感 兴趣 ， 因 为 这 些 账 号 的 所 有 者 很 难 发 
现 他 们 的 账号 遭 到 滥用 。Finger 协议 不 可 能 在 防火 墙 上 运行 ， 因 此 对 于 受 防火 墙 保护 的 
网 站 来 说 ， 它 不 是 主要 考虑 的 问题 。 对 于 防火 墙 内 部 的 用 户 来 说 ， 可 以 使 用 其 他 办 法 获 
得 大 量 同样 的 信息 。 但 是 ， 如 果 把 一 台 机 器 暴露 在 防火 墙 外 部 ， 那 么 关闭 Finger 后 台 程 
序 ， 或 者 对 其 施加 某 些 限 制 才 是 明智 之 举 。 


3.4.20 Whois 协议 


1. 概述 

Whois 协议 运行 于 各 域名 注册 机 构 ， 用 来 查询 域名 所 有 者 的 身份 及 数据 库 中 的 其 他 
信息 ， 如 所 有 者 (Registrant Name )、 所 有 者 联系 邮箱 (Registrant E-mail), YEA 
(Sponsoring Registrar)、 注 册 日 期 (Registration Date)、 到 期 日 期 (Expiration Date)、 域 
ZARA (Domain Status) 和 DNS 服务 器 (Name Server) 等 。Whois 在 一 种 专门 的 Whois 
服务 器 上 查询 ， 这 种 服务 器 上 有 个 人 或 站 点 信息 的 大 型 数据 库 〈 如 InterNIC 数据 库 )， 
只 要 是 在 它 上 面 登记 过 的 人 员 或 站 点 ，Whois 就 可 以 查 到 它们 。 目 前 国内 提供 WHOIS 
查询 服务 的 网 站 有 万 网 、 站 长 之 家 等 。 该 协议 使 用 的 默认 端口 号 是 43. 


2. Whois 协议 的 安全 问题 及 防护 措施 

Whois 服务 器 有 很 多 ， 并 不 是 每 个 服务 器 上 都 有 所 查 对 象 的 信息 ， 而 应 在 对 象 所 属 
区 域内 的 Whois 服务 器 上 查询 ， 查 询 者 才 有 可 能 查 到 正确 的 结果 。Whois 服务 器 大 致 
按 国家 和 地 区 ( 洲 ) 分 类 ， 如 中 国 的 whois.cnnic.net.cn, 日 本 的 whois.nic.ad.jp， 亚 太 地 
区 的 whois.apnic.net， 欧 洲 的 whois.ripe.net 等 。 找 到 Whois 服务 器 后 ， 在 query 框 中 
输入 一 个 人 名 ， 在 地 址 框 中 输入 其 所 在 国 或 洲 的 Whois 服务 器 地 址 ， 就 可 能 查 到 其 联 
系 信息 。 如 果 要 查询 一 个 站 点 的 联络 信息 ， 可 以 直接 在 地 址 框 中 输入 站 点 地 址 。 

查询 到 的 信息 除了 站 点 的 必要 信息 之 外 ， 还 有 站 点 所 有 者 的 隐私 信息 ， 比 如 家 庭 住 
址 电话 号 码 和 电子 邮件 地 址 等 信息 。 这 些 信息 可 能 会 通过 开放 式 的 Whois 查询 而 泄露 ， 
继而 被 有 目的 的 攻击 者 利用 。 此 外 ， 在 进行 Whois 查询 时 ， 大 多 数 情况 下 ， 人 们 使 用 的 
是 客户 端 软件 。 黑 客 曾 使 用 这 一 服务 攻破 注册 数据 库 ， 并 对 数据 库 进行 了 非 授权 的 修改 。 
发 生 这 种 情况 ， 是 Whois 服务 器 没有 对 输入 进行 检查 所 致 ， 导 致 了 包含 大 量 站 点 信息 的 
数据 库 的 内 容 的 泄露 。 
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针对 以 上 几 种 问题 ， 目 前 存在 的 解决 办 法 相对 较 少 。 如 果 要 查询 只 能 联系 对 应 的 注 
册 商 , 那么 可 以 使 注册 商 对 国际 域名 的 Whois 信息 屏蔽 。 这 种 保护 机 制 是 防止 有 人 恶意 
利用 这 种 Whois 信息 的 联系 方式 ， 暴露 客户 的 隐私 信息 。 如 果 域 名 持 有 者 要 注册 Whois 
服务 ， 可 以 取消 填写 家 庭 住 址 和 电话 号 码 等 信息 的 填写 要 求 ， 这 是 从 信息 源头 上 解决 隐 
私信 息 的 泄露 。 对 于 黑客 针对 数据 库 的 攻击 ， 迄 今 为 止 ， 人 们 并 未 对 Whois 服务 进行 过 
仔细 的 检查 和 测试 ， 如 果 网 站 提供 这 种 服务 ， 应 该 对 该 服务 的 代码 进行 仔细 检查 ， 因 此 
该 服务 存在 一 定 的 风险 。 


3.4.21 LDAP 协议 


1. 概述 

LDAP (Lightweight Directory Access Protocol) 的 全 称 是 轻 量 级 目录 访问 协议 ， 类 似 
F X.500， 以 目录 的 形式 来 管理 资源 。LDAP 简化 了 烦琐 的 X.500 协议 , 在 功能 性 、 数 据 
表示 、 编 码 和 传输 方面 做 了 改进 。1997 年 ， 第 3 版 LDAP 协议 成 为 因特网 标准 ， 协 议 的 
默认 端口 号 是 389。 在 介绍 LDAP 之 前 ， 有 必要 先 引 入 目录 的 概念 以 进一步 理解 LDAP. 

目录 (Directory) 是 一 种 专门 的 数据 库 ， 服 务 于 各 种 应 用 程序 ， 具 有 通用 性 和 标准 
性 。 大 多 数 人 熟悉 各 种 各 样 的 目录 ， 如 电话 短 、 黄 页 和 电视 指南 等 ， 称 为 日 常 目 录 。 计 
算 机 中 的 目录 称 为 在 线 目录 。 目 录 服 务 是 软件 、 硬 件 、 策 略 及 管理 的 集合 体 ， 包 括 多 个 
方面 ， 例 如 目录 中 的 信息 、 信 息 存 取 的 软件 客户 端 、 客 户 端 到 服务 端 以 及 各 服务 端 之 间 
的 网 络 基础 设施 等 。 一 些 应 用 类 型 不 能 被 归 为 目录 ， 如 文件 系统 、Web 服务 和 FTP 服务 
等 。 最 常用 的 目录 有 两 类 : X.500 Al LDAP 协议 。 


2. LDAP 协议 的 安全 问题 及 防护 措施 

计算 机 网 络 中 安全 是 最 重要 的 因素 , 对 于 LDAP 的 客户 机 /服务 器 模型 安全 也 是 必要 
的 考虑 条 件 。 当 客户 和 服务 器 通信 时 ， 在 不 安全 的 网 络 上 传输 敏感 信息 必须 得 到 保护 。 
归纳 起 来 ，LDAP 考虑 的 安全 包括 以 下 几 个 方面 : 

(1) 用 户 认 证 。 保 证 客户 的 身份 与 客户 所 声明 的 一 样 。 

(2) 数据 完整 。 保 证 服务 器 收 到 的 数据 没有 被 算 改 。 

(3) 数据 保密 。 在 可 能 使 数据 暴露 的 地 方 对 数据 加 密 。 

(4) 用 户 授权 。 保 证 用 户 的 请 求 在 用 户 的 权限 范围 内 。 用 户 授权 必须 使 用 用 户 认 证 
通过 以 后 才 实施 。 在 LDAPv3 中 ， 用 户 授权 不 在 协议 范围 内 ， 而 是 各 个 厂商 自己 完成 。 

对 于 用 户 认证 功能 ， 最 常用 的 由 LDAP 提供 的 方法 包括 3 种 方式 。 无 认证 是 指 客户 
在 绑 定 服务 器 时 不 提供 区 分 名 DN(Distinguished Name) 和 密码 , 服务 器 自动 建立 一 次 匿名 
会 话 并 分 配 预 先 定义 好 的 权限 给 当前 用 户 。 基 本 认证 是 指 当 客户 选择 基本 认证 方式 时 ， 
将 提供 客户 的 DN 和 密码 以 Base64 编码 的 方式 在 网 络 上 传输 。 服务 器 检查 DN 和 密码 是 
否 与 目录 中 的 一 个 目录 项 吻合 来 判断 用 户 的 合法 性 。 简 单 认证 和 安全 层 (SASL) 是 一 个 
框架 ， 它 为 面向 连接 的 协议 提供 额外 的 认证 机 制 ， 现 在 已 经 广泛 用 于 IMAP4, SMTP, 
POP3 和 LDAP 协议 的 中 间 层 。 

需要 注意 的 是 ，LDAP 与 Finger 服务 非常 相似 ， 由 于 两 者 提供 相同 种 类 的 信息 ， 因 
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此 面临 着 相同 类 型 的 风险 。 另 外 ， 它 使 用 了 ASN.1 编码 ， 因 此 也 继承 了 其 编码 带 来 的 
缺陷 。 


3.4.22 NNTP 协议 


1. 概述 

NNTP (Network News Transfer Protocol) 即 网 络 新 闻 传 输 协 议 [ 区 antor 等 1986], Œ 
一 个 主要 用 于 阅读 和 张贴 新 闻 文 章 到 Usenet 上 的 Internet 应 用 协议 ,NNTP 用 于 向 NNTP 
服务 器 或 NNTP 客户 提供 新 闻 的 分 发 、 查 询 、 检 索 和 投递 。NNTP 采用 的 会 话 与 SMTP 
相 类 似 ,本质 区 别 在 于 SMTP 通常 是 双向 的 、 私 密 的 ,也 就 是 在 两 个 用 户 之 间 传 递 消息 ， 
T NNTP 是 多 向 的 、 开 放 的 ， 多 个 用 户 共同 查看 同一 条 消息 ， 任 何人 都 可 以 对 消息 进行 
评价 和 讨论 。 

NNTP 使 用 TCP 端口 号 119， 也 像 其 他 Internet 应 用 (HTTP，FTP 和 SMTP 等 ) 一 
样 使 用 命令 和 响应 实现 通信 , 客户 发 送 ASCH 命令 给 服务 器 , 服务 器 返回 数值 的 响应 码 ， 
后 面 跟着 可 选 的 ASCII 数据 。 验证 NNTP 协议 最 简单 的 方法 就 是 利用 Telnet 程序 来 连接 
一 台 主 机 上 的 NNTP 端口 ， 前 提 条 件 是 这 台 主 机 运行 了 NNTP 服务 器 程序 。 但 是 ， 通 常 
我 们 必须 从 一 台 能 被 服务 器 主机 识别 的 主机 上 运行 客户 程序 ， 典 型 的 情况 就 是 选择 同一 
组 织 网 络 中 的 一 台 主机 。 例 如 ， 通 过 Intemet 从 其 他 网 络 的 主机 上 登录 本 地 的 新 闻 服 务 
器 ， 会 收 到 如 下 错误 信息 : 


vangogh.cs.berkley.edu % telnet noao. edu nntp 


Trying 140.252.1. 54... 由 telnet 客户 程序 输出 
Connected to noao. edu. 由 telnet 客户 程序 输出 
Escape character is “]’. 由 telnet 客户 程序 输出 
502 You have to permission to talk.Goodbye. 由 NNTP 服务 器 输出 

Connection closed by foreign host . 由 telnet 客户 程序 输出 


输出 的 第 4 行 是 由 NNTP 服务 器 输出 的 ,响应 码 是 502。 当 TCP 连接 被 建立 后 ,NNTP 
服务 器 收 到 客户 的 IP 地 址 ， 将 它 与 配置 中 的 IP 地 址 进行 比较 。 如 果 从 一 台 “ 本 地 ” 主 
机 连接 到 新 闻 服 务 器 ， 则 不 会 收 到 类 似 错误 信息 。 


2. NNTP 协议 的 安全 问题 及 防护 措施 

FA NNTP 不 必 让 用 户 直 接连 入 服务 器 , 这 相 比 SMTP 相对 安全 一 些 ,但 关于 NNTP 
如 何 通过 防火 墙 还 有 一 些 争 论 。 最 直接 的 方式 是 把 它 视 同 邮 件 ， 即 接收 和 发 送 的 消息 条 
目 通过 网 关 来 处 理 和 转发 ， 但 这 种 方法 也 存在 一 些 缺点 : 

(1) 网 络 消息 非常 耗费 系统 资源 。 它 消耗 了 巨大 数量 的 磁盘 空间 、 文 件 位 置 、 节 点 
和 CPU 时 间 等 。 网 关 管 理 员 或 许 会 利用 处 理 数据 的 相关 程序 来 处 理 每 天 多 达 数 GB 的 网 
络 消息 。 但 任何 程序 都 可 能 会 带 来 安全 漏洞 ， 在 NNTPD 中 已 经 存在 过 这 样 的 问题 ， 在 
网 络 消息 子 系统 的 其 余部 分 也 同样 存在 类 似 问题 。 消息 的 分 发 软件 包含 SNNTP, 这 是 一 
个 相对 简单 而 且 可 能 更 安全 的 NNTP。 它 缺乏 一 些 NNTP 的 功能 ， 但 是 对 于 通过 网 关 传 
递 消息 来 说 是 合适 的 ， 至 少 不 需 要 每 个 服务 都 以 root 的 权限 运行 。 
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G) 很 多 的 防火 墙 结构 在 设计 时 假设 网 关 可 能 遭受 攻击 ， 也 就 是 说 ， 在 网 关上 不 能 
够 部 署 公司 内 部 所 有 的 新 闻 组 ， 同 时 网 关 也 不 能 够 作为 内 部 消息 的 “集线器 ”。 

(4) NNTP 与 SMTP 相 比 有 一 个 最 大 的 好 处 : 通过 NNTP 可 以 了 解 邻居 是 谁 ， 可 以 
利用 这 个 信息 来 拒绝 不 友好 的 连接 请 求 。 如 果 网 关 确 实 要 接收 消息 ， 就 需要 利用 一 些 机 
制 。 可 能 采用 NNTP 来 传递 接收 到 的 消息 。 这 样 ， 如 果 NNTP 存在 漏洞 ， 内 部 的 消息 主 
机 将 会 很 危险 ， 因 为 只 要 控制 了 网 关 ， 就 可 以 对 它 进行 攻击 。 

正 是 由 于 以 上 原因 ， 有 人 建议 在 内 部 机 器 运行 NNTP 时 ， 使 用 一 种 隧道 策略 ， 在 防 
火 墙 上 开 溺 一 个 加 密 隧 道 ， 以 便 让 这 种 数据 流通 过 。 

注意 : 这 种 选择 不 是 完全 没有 风险 的 。 如 果 NNTPD 本 身 仍 然 存 在 问题 ， 攻 击 者 仍 
能 够 穿 过 隧道 。 但 是 任何 其 他 方式 都 不 会 有 分 离 的 传输 机 制 ， 同 样 会 使 系统 暴露 在 类 似 
的 险 境 中 ， 比 如 uucp， 尽 管 它 本 身 具 有 非常 安全 的 通道 。 


5J 


— 填空 题 

1. 主机 的 IPv4 的 地 址 长 度 为 b， 主 机 的 MAC 地 址 长 度 为 b。IPv6 
的 地 址 长 度 为 b。 

2. ARP 的 主要 功能 是 将 地 址 转换 成 为 地 址 。 

3. NAT 的 主要 功能 是 实现 地 址 和 地 址 之 间 的 转换 ， 它 解决 了 IPv4 
地 址 短缺 的 问题 。 

4. DNS 服务 使 用 号 端口 ， 它 用 来 实现 或 的 映射 。 

5. SMTP 服务 使 用 号 端口 发 送 邮件 ，POP3 服务 使 用 号 端口 接收 
邮件 ，IMAP 使 用 号 端口 接收 邮件 。 

6. FIP 的 主要 功能 是 实现 文件 的 上 传 和 下 载 ， 它 的 数据 通道 采用 TCP 的 
号 端口 ， 而 其 控制 通道 采用 TCP 的 号 端口 。 

7. Telnet 服务 的 功能 是 实现 远程 登录 ， 它 采用 TCP 的 号 端口 。 

8. SSH 服务 的 功能 是 实现 安全 的 远程 登录 ， 它 采用 TCP 的 号 端口 。 

9. SNMP 服务 的 功能 是 实现 对 网 元 的 管理 ， 它 采用 UDP 的 号 端口 。 

10. NTP 服务 使 网 络 内 的 所 有 设备 时 钟 保持 一 致 ， 它 使 用 UDP 的 号 端口 。 

二 、 简 答题 

1. 简 述 以 太 网 上 一 次 TCP 会 话 所 经 历 的 步 又 和 涉及 的 协议 。 

2. 在 TCP 连接 建立 的 3 步 握手 阶段 ,攻击 者 为 什么 可 以 成 功 实施 SYN Flood 攻击 ? 
在 实际 中 ， 如 何 防 范 此 类 攻击 ? 

3. 如 何 封装 一 个 源 路 由 数据 包 ? 允许 这 种 数据 包 通 过 防火 墙 会 对 内 部 网 络 安全 造 
成 什么 影响 ? 

4. 为 什么 UDP tk TCP 更 加 容易 遭 到 攻击 ? 

5. 为 什么 路 由 协议 不 能 抵御 路 由 欺骗 攻击 ? 如 何 设置 路 由 器 抵御 这 一 攻击 ? 
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6. 写 出 DNS 服务 的 CheckList (安全 检查 步骤 ) 。 
7. 通过 DNS 劫持 会 对 目标 系统 产生 什么 样 的 影响 ? 应 该 如 何 避 免 ? 
8. 简 述 IPv6 和 IPv4 的 数据 包 格式 的 异同 。 在 IPv4 网 络 上 打通 IPv6 隧道 的 方式 有 


哪些 ? 


9. IPv6 和 IPv4 网 络 能 否 互通 ? 如 果 可 以 ， 需 要 哪些 辅助 措施 ? 


10. 
11. 
12. 


能 否 在 ARP 层 进行 会 话 的 动 持 ? 如 果 能 ， 原 理 是 什么 ? 
黑客 为 什么 可 以 成 功 实施 ARP 欺骗 攻击 ? 在 实际 中 如 何 防止 ARP 欺骗 攻击 ? 
判断 下 列 情况 是 否 可 能 存在 ? 为 什么 ? 


(1) 通过 ICMP 数据 包 封装 数据 ， 与 远程 主机 进行 类 似 UDP 的 通信 。 
(2) 通过 特意 构造 的 TCP 数据 包 ， 中 断 两 台 机 器 之 间 指 定 的 一 个 TCP 会 话 。 


13. 
14. 
能 否 根 据 给 定 的 一 个 ARP 地 址 唯一 确定 拥有 者 的 身份 ? 
1. 
16. 
17. 
18. 
19. 
20. 
21. 


~ 


机 


什么 是 ICMP 重 定向 攻击 ? 如 何 防止 此 类 攻击 ? 
在 内 部 以 太 局 域 网 中 ， 能 否 根据 一 个 ARP Hh (MAC 地 址 ) 唯一 确定 一 台 主 


DNS 可 能 遭 到 的 攻击 有 哪些 ? DNSsec 协议 有 哪些 优点 ? 

在 邮件 应 用 中 ，IMAP 与 POP 相 比较 ， 最 大 改进 是 什么 ? 

FTP 和 H.323 都 被 称 为 动态 协议 ， 为 什么 ? 

使 用 SSH 进行 通信 是 否 能 够 避免 会 话 劫持 ? 为 什么 ? 

SNMP v1 和 SNMP v3 有 哪些 不 同 ? SNMP v3 中 主要 做 了 哪些 改进 ? 

简 述 在 多 播 通信 中 ， 通 信 各 方 发 送 数据 包 的 类 型 ， 以 及 源 、 目 的 地 址 的 特征 。 
电子 邮件 系统 通常 面临 哪些 安全 风险 ? 在 实际 中 ， 人 们 采用 哪些 安全 措施 来 提 


高 邮件 系统 的 安全 性 ? 


22: 
23: 


FTP 服务 存在 哪些 安全 风险 ? 应 如 何 做 才能 消除 或 减少 这 些 安全 风险 ? 
请 比较 Telnet 和 SSH 协议 的 异同 , 并 用 Sniffer 软件 捕捉 其 数据 包 查看 两 者 的 数 


据 包 内 容 有 何不 同 。 


24. 
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简 述 H.323 协议 与 SIP 的 异同 。 


4 音 


单 〈 私 ) 钥 密 码 体制 


单 钥 加 密 体制 也 称 为 私 钥 加 密 体制 (Secret Key Cryptosystem)。 由 于 通信 双方 采用 
的 密 钥 相 同 ， 所 以 人 们 通常 也 称 其 为 对 称 加 密 体 制 (Symmetric Cryptosystem)。 

对 于 单 钥 加 密 体制 来 说 ， 可 以 按照 其 加 解密 运算 的 特点 ， 将 其 分 为 流 密码 (Stream 
Cipher) 和 分 组 密码 (Block Cipher)。 涉 及 流 密码 和 分 组 密码 的 理论 和 技术 内 容 非常 多 ， 
很 多 书 中 将 流 密码 和 分 组 密码 分 章 讨 论 。 由 于 对 流 密码 和 分 组 密码 的 理论 上 的 描述 已 经 
超出 了 本 书 的 范围 ， 所 以 本 章 将 流 密码 和 分 组 密码 合 为 一 章 讨 论 。 本 章 主 要 介绍 流 密码 
和 分 组 密码 的 基本 理论 ， 以 及 有 代表 性 的 分 组 密码 算法 ， 并 对 其 具体 的 技术 问题 进行 
讨论 。 


1 ”密码 体制 的 定义 


密码 体制 的 语法 定义 如 下 : 
。 明文 消息 空间 M: 某 个 字母 表 上 的 串 集 。 
密 文 消息 空间 C: 可 能 的 密 文 消息 集 。 
加 密 密 钥 空 间 K: 可 能 的 加 密 密 钥 集 ， 解密 密 钥 空间 K': 可 能 的 解密 密 钥 集 。 
有 效 的 密 钥 生成 算法 5:N 一 KxK'。 
有 效 的 加 密 算 法 天 :Mx 天 ->C 。 
e ARR EE D:CxK' 9M. 
对 于 整数 1 ，“G) 输出 长 为 7 的 密 钥 对 (ke,kd) eK x K’, 
对 于 keeKK 和 m eM， 将 加 密 变 换 表 示 为 
c=E.(m) 
读 做 “c 是 m TERA ke 下 的 加 密 ”， 将 解密 变换 表示 为 
m=D,,(c) 
读 做 “m 是 c 在 密 钥 kd 下 的 解密 ”对 于 所 有 的 me M 和 所 有 的 kes 天 ， 一 定 存在 
kdeKk': 


Ds(E(m)=m (4-1) 

在 本 书 的 其 余 各 章 ， 除 了 文献 上 已 经 习惯 使 用 不 同 记号 的 地 方 ， 将 使 用 这 个 构造 性 
的 记号 集 来 表示 抽象 的 密码 体制 。 图 4-1 是 密码 体制 的 图 示 。 

现 将 密码 体制 的 构成 空间 和 算法 符号 应 用 于 既 使 用 私 钥 又 使 用 公 钥 〈 公 和 钥 密 码 体制 

将 在 第 5 章 中 介绍 ) 的 密码 体制 。 在 单 钥 密码 体制 中 ， 加 密 和 解密 使 用 同样 的 密 钥 ， 加 


mm 网 络 安全 一 一 技术 与 实践 (第 2 版 ) ES 


密 消息 的 人 必须 与 即将 收 到 已 加 密 消息 并 对 其 解密 的 人 分 享 加 密 密 钥 。kd = ke 的 情况 给 
了 单 钥 密码 体制 另 一 个 名 字 : 对 称 密码 体制 (Symmetric Cryptosystem)。 在 公 钥 密码 体 
制 中 ， 加 密 和 解密 使 用 不 同 的 密 钥 ， 对 于 每 个 Ke se 天， 存在 kde 天 ' ， 这 两 个 密 钥 不 同 ， 
但 互相 匹配 ; WEZH ke PURE, ke 的 拥有 者 可 以 使 用 相 匹配 的 私 钥 kd 来 解密 在 ke 
下 加 密 过 的 密 文 。kd=ke 的 情况 给 了 公 钥 密码 体制 男 一 个 名 字 : 非 对 称 密码 体制 
(Asymmetric Cryptosystem ) 。 
1883 年 ，Kerchoffs 列 了 一 个 设计 密码 要 求 必 备 的 条 件 表 [Menezes 等 1997]。 在 
Kerchoffs 列表 中 ， 有 一 条 已 经 发 展 为 被 广泛 认可 的 约定 ， 称 为 Kerchoffs 原理 。 
现代 密码 分 析 的 标准 假设 是 攻击 者 可 以 获知 密码 算法 、 密 钥 长 度 以 及 密 文 。 既 然 敌 
手 最 终 可 以 获得 这 些 信 息 ， 那 么 评估 密码 强度 时 最 好 不 要 依赖 这 些 信 息 的 保密 性 。 
结合 香农 对 密码 体制 的 语义 描述 和 Kerchoffs 原理 ， 可 以 对 好 的 密码 体制 做 如 下 
总 结 : 
o FUE EM DFAS MEN MART BD. 
e 巨 将 有 意义 的 消息 相当 均匀 地 分 布 在 整个 密 文 消息 空间 中 ; 甚至 可 以 由 EE 的 某 些 
随机 的 内 部 运算 来 获得 随机 的 分 布 。 
e 使 用 正确 的 密 钥 ，E 和 DD 是 实际 有 效 的 。 
。 不 使 用 正确 的 密 钥 , 要 由 密 文 恢 复出 相应 的 明文 是 一 个 由 密 钥 参数 的 大 小 唯一 决 
定 的 困难 问题 ,通常 取 长 为 s 的 密 钥 ， 使 得 解 这 个 问题 所 要 求 计算 资源 的 量 级 超 
it p(s), p 是 任意 多 项 式 。 


明文 -| 加密 = -ug PS 
消息 信道 
密 钥 信道 
| 密 钥 
生成 
单 钥 密 码 体制 : ke=kd 。 密 钥 信道 ; 例如 ， 信 使 


公 钥 密码 体制 : ke#kd ” 密 钥 信道 : 例如 ， 号 码 薄 
图 4-1 密码 体制 


注意 : 希望 密码 体制 具有 以 上 这 些 性 质 对 于 现代 密码 体制 的 应 用 来 说 已 经 不 够 了 ， 
通过 对 密码 体制 的 研究 ， 将 归纳 出 一 些 更 为 严格 的 要 求 。 
a 
42 古典 密码 


古典 密码 是 密码 学 的 渊源 ， 这 些 密码 大 都 比较 简单 ， 可 用 手工 或 机 械 操 作 实现 加 解 
密 ， 现 在 已 很 少 采用 了 。 然 而 ， 研 究 这 些 密码 的 原理 ， 对 于 理解 、 构 造 和 分 析 现 代 密 码 
都 是 十 分 有 益 的 。 
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Á 第 4 章 单 ( 私 ) 钥 密 码 体 制 


4.2.1 PRB 


在 代 换 密码 (Substitution Cipher) 中 ， 加 密 算法 E (mM 是 一 个 代 换 函数 ， 它 将 每 一 
个 me M 代 换 为 相应 的 ce C ， 代 换 函 数 的 参数 是 密 钥 此， 解密 算法 Di(c) 只 是 一 个 逆 代 
换 。 通 常 ， 代 换 可 由 映射 x:M -> CAH, MUR Ee et :C 一 >M o 

1. 简单 的 代 换 密码 

例 4-1 简单 的 代 换 密码 。 令 M = C = Zs,， 所 包含 元 素 表 示 为 4=0 了 =1…,Z=25。 
将 加 密 算法 E (m) 定义 为 下 面 的 Z,。 上 的 一 个 置换 


0 12 3 4 5 6 7 8 9 10 11 12 
总 12°25 17 24 23 19 15 22) B-18 3 al 
13 14 15 16 17 18 19 20 21 22 23 24 25 
ie 10 2 8 16 11 144 7 1 4 20 0 | 
那么 相应 的 解密 算法 Pi(c) 为 
o T2 3 45 6 7 8 9 TO Th 
& 21 15 11 22 13 25 20 16 12 14 18 1 ) 
13 14 15 16 17 18 19 20 21 22 23 24 25 
F 19.7: 17 3-10 6 23 0 8 5 4 >) 


明文 消息 

proceed meeting as agreed 

加 密 为 下 面 的 密 文 消 息 〈 空 间 并 不 改变 ) 
cqkzyyr jyyowft vl vtqyyr 


在 这 个 简单 的 代 换 密码 的 例子 里 ， 消 息 空间 M 和 C 都 是 字母 表 Z,。 ， 换 句 话说 ,一 
个 明文 或 密 文 消息 是 字母 表 中 的 一 个 单个 字符 。 由 于 这 个 原因 ， 明 文 消息 串 
proceedmeetingasagreed 并 不 是 单个 的 消息 ， 而 是 包含 了 22 个 消息 ， 同 样 ， 密 文 消息 串 
cqkzyyrjyyowftvlvtqyyr 也 包含 22 个 消息 。 密 码 的 密 钥 空间 大 小 为 26!> 4x10”， 与 消息 
空间 的 大 小 相 比 是 非常 大 的 。 然 而 ， 事 实 上 这 种 密码 是 非常 弱 的 : 每 一 个 明文 字符 被 加 
密 成 唯一 的 密 文字 符 。 这 一 弱点 致使 这 种 密码 对 于 称 为 频 度 分 析 的 一 种 密码 分 析 技 术 来 
说 ， 是 相当 脆弱 的 ， 频 度 分 析 揭示 出 一 个 事实 ， 就 是 自然 语言 包含 大 量 的 元 余 。 

历史 上 出 现 过 几 种 特殊 的 简单 代 换 密码 ， 最 简单 且 最 著名 的 密码 称 为 移 位 密码 。 在 
移 位 密码 中 ， 久 =M =C ， 令 N=#M ， 则 加 密 和 解密 映射 定义 为 

E,(m) <m + k(mod N) 
ee <-c—k(mod N) 

其 中 m,c,ke Zs。 当 M 为 拉丁 字母 表 的 大 写字 母 时 ， 也 就 是 M = Z,。， 移 位 密码 也 称 为 
凯撒 密码 ， 这 是 因为 Julius Caesar 使 用 了 该 密码 当 丰 =3 时 的 情形 [Denning 1982]. 

如 果 gcd(k,)=1， 那 么 对 每 个 m<N : 


(4-2) 
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km(mod N) 
可 取 遍 整个 消息 空间 Zw ， 因 此 对 于 这 样 的 FE 和 zc< N 
E,(m) < km(mod N) 
3 (4-3) 
e (c) <4 k*c(mod N) 
给 出 了 一 种 简单 代 换 密码 。 同 理 ， 
kım + k,(mod N) 
也 可 以 定义 一 种 称 为 仿 射 密码 的 简单 代 换 密码 : 
E,(m) <- kım +k, (mod N) 
> (Och (c—k,)(mod N) 
不 难看 出 , 利用 天 中 密 钥 与 M 中 消息 之 间 的 不 同 算术 运算 可 以 设计 不 同 的 简单 代 换 
密码 ， 这 些 密码 称 为 单 表 密码 (Monoalphabetic Cipher): 对 于 一 个 给 定 的 加 密 密 钥 ， 明 
文 消息 空间 中 的 每 一 元 素 将 被 代 换 为 密 文 消息 空间 中 的 唯一 元 素 。 因 此 ， 单 表 密 码 不 能 
抵抗 频 度 分 析 攻 击 。 
然而 ， 由 于 简单 代 换 密码 的 简易 性 ， 它 们 已 经 被 广泛 应 用 于 现代 单 钥 加 密 算法 中 。 
在 后 面 的 两 节 中 ， 将 介绍 简单 代 换 密码 在 数据 加 密 标 准 (DES) 和 高 级 加 密 标 准 CAES) 
中 所 起 到 的 核心 作用 。 几 个 简单 密码 算法 的 结合 可 以 产生 一 个 安全 的 密码 算法 ， 这 一 点 
已 经 得 到 大 家 的 认可 ， 这 就 是 简单 密码 仍 被 广泛 应 用 的 原因 。 简 单 代 换 密码 在 密码 协议 
上 也 有 广泛 的 应 用 。 


2. 多 表 密码 

如 果 忆 中 的 明文 消息 元 可 以 代 换 为 C 中 的 许多 、 可 能 是 任意 多 的 密 文 消息 元 ， 这 种 
代 换 密码 就 称 为 多 表 密 码 (Polyalphabetic Cipher). 

由 于 维 吉 尼 亚 密码 (Vigenère Cipher) 是 多 表 密 码 中 最 知名 的 密码 ， 所 以 下 面 将 以 
它 为 例 来 说 明 多 表 密 码 。 

维 吉 尼 亚 密码 是 基于 串 的 代 换 密码 : 密 钥 是 由 多 于 一 个 的 字符 所 组 成 的 串 。 令 m 为 
密 钥 长 度 ， 那 么 明文 串 被 分 为 m 个 字符 的 小 段 ， 也 就 是 说 ， 每 一 小 段 是 m 个 字符 的 串 ， 
可 能 的 例外 就 是 串 的 最 后 一 小 段 不 足 m 个 字符 。 加密 算 法 的 运算 同 于 密 钥 串 和 明文 串 之 
间 的 移 位 密码 ， 每 次 的 明文 串 都 使 用 重复 的 密 钥 串 。 解 密 同 于 移 位 密码 的 解密 运算 。 

例 4-2 维 吉 尼 亚 密码 。 令 密 钥 串 是 gold， 利 用 编码 规则 4=0, B=1, +, Z=25, X 
个 密 钥 串 的 数字 表示 是 〈6. 14, 11, 3)。 明 文 串 


proceed meeting as agreed 


的 维 吉 尼 亚 加 密 运 算 如 下 ， 这 种 运算 就 是 逐 字符 模 26 加 : 
Is 17 144 2 4 #4 3 12 4 #4 D 
6 14 ñ 3 6 4 n 3 6 4 UL 
21 5 2 5 10 18 4 15 10 18 4 
8 13 6 O 18 © 6 17 4 4 3 
3 6 14 1 3 6 4 1 3 6 14 
Ww 19 20 m 21 6 20 2 #7 10 -17 


(4-4) 
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因此 密 文 串 是 
vfzfkso pkseltu lv guchkr 


其 他 著名 的 多 表 密 码 还 包括 书本 密码 (也 称 做 Beale 密码 ) 和 Hill 密码 ， 它 们 的 密 
钥 串 是 已 协商 好 的 书 中 的 原文 。 有 关 这 些 代 换 密码 的 详细 描述 请 参考 相关 文献 [Denning 
1982; Stinson 1995]。 


3. 弗 纳 姆 密码 和 一 次 一 密 
弗 纳 姆 密码 是 最 简单 的 密码 体制 之 一 。 若 假定 消息 是 长 为 n 的 比特 串 
m=bb,--b, € {0,1}" 
那么 密 钥 也 是 长 为 的 比特 串 
k=k,k, k, €y {0,1}" 
〈 这 里 注意 到 符号 “ev ”表示 均匀 随机 地 选取 已 。 一 次 加 密 一 比特 ， 通 过 将 每 个 消息 比 
特 和 相应 的 密 钥 比特 进行 比特 XOR( 异 或 ) 运算 来 得 到 密 文 串 c = cic, …c， 


c =b, Ok, 
1Si<n, EZH O 定义 为 
® 0 1 
0 0 1 


因为 @ 是 模 2 加 ， 所 以 减法 等 于 加 法 ， 因 此 解密 与 加 密 相同 。 

考虑 M =C= 天 ={0.1}，, 则 弗 纳 姆 密码 是 代 换 密码 的 特例 。 如 果 密 钥 串 只 使 用 一 次 ， 
那么 弗 纳 姆 密码 就 是 一 次 一 密 加 密 体制 。 一 次 一 密 弗 纳 姆 密码 提供 的 保密 性 是 在 信息 理 
论 安全 性 的 意义 上 的 ， 或 者 说 ， 是 无 条 件 的 。 理 解 这 种 安全 性 的 一 种 简单 方法 如 下 : 

WRB A k EF cOm GBR 2 加 )， 由 于 任意 m 能 够 产生 c， 所 以 密 文 消息 串 
c 不 能 提供 给 窃听 者 关于 明文 消息 串 m 的 任何 信息 。 

一 次 一 密 弗 纳 姆 密码 也 称 为 一 次 一 密 钥 密码 。 原 则 上 ， 只 要 加 密 密 钥 的 使 用 满足 安 
全 代 换 密码 必须 满足 的 两 个 条 件 [Mao 2004]， 那 么 任何 代 换 密码 都 是 一 次 一 密 密 码 。 然 
而 习惯 上 只 有 使 用 逐 比特 异 或 运算 的 密码 才 称 为 一 次 一 密 密 码 。 

与 其 他 代 换 密码 (例如 使 用 模 26 加 的 移 位 密码 ) 相 比 ， 逐 位 异 或 运算 〈 模 2 加 ) 在 
电子 电路 中 更 容易 实现 ， 因 为 这 个 原因 ， 逐 位 异 或 运算 被 广泛 应 用 在 现代 单 钥 加 密 算法 
的 设计 中 。 现 代 密 码 DES, AES 和 我 国 设计 的 祖冲之 密码 算法 (ZUC) 均 使 用 了 逐 位 异 
或 运算 。 

一 次 一 密 钥 类 型 也 被 广泛 应 用 在 密码 学 协议 中 。 


4.2.2 换 位 密码 


通过 重新 排列 消息 中 元 素 的 位 置 而 不 改变 元 素 本 身 来 变换 一 个 消息 的 密码 称 做 换 位 
密码 〈 也 称 做 置换 密码 )。 换 位 密码 是 古典 密码 中 除 代 换 密码 外 的 重要 一 类 ， 它 广泛 应 用 
于 现代 分 组 密码 的 构造 。 
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考虑 明文 消息 中 的 元 素 是 Z.。 中 的 字符 时 的 情形 ， 令 b 为 一 固定 的 正 整数 ， 它 表示 
消息 分 组 的 大 小 ，P=C=(Z,s》， 而 KK 是 所 有 的 置换 ， 也 就 是 (1,2,…,b) 的 所 有 重 排 。 

那么 因为 xeK ， 置 换 x=(x(1m(2):: rb) 是 一 个 密 钥 。 对 于 明文 分 组 
(xz)E 忆 ， 这 个 换 位 密码 的 加 密 算法 是 

E (X35) = (Xo) Xa Xn) ) 

An Ran Ki, 也 就 是 ze (xQ))=i,i=1,2,…,b， 那么 这 个 换 位 密码 相应 的 解密 算 

法 是 
Dy = V27 Ye) = Vat Vy Yay) 

对 于 长 度 大 于 分 组 长 度 b 的 消息 ， 该 消息 可 分 成 多 个 分 组 ， 然 后 逐 分 组 重复 同样 的 

既然 对 于 消息 分 组 的 长 度 5»， 共 有 4b! 种 不 同 的 密 钥 ， 因 此 一 个 明文 消息 分 组 能 够 变 
换 加 密 为 5! 种 可 能 的 密 文 ， 然 而 由 于 字母 本 身 并 未 改变 ， 换 位 密码 对 于 抗 频 度 分 析 技 术 
也 是 相当 脆弱 的 。 

例 4-3 KAE. Sb=4, n=(n(),n(2),n(3),2(4)) =(2,4,1,3)， 那 么 明文 消息 


proceed meeting as agreed 
首先 分 为 6 个 分 组 ， 每 个 分 组 4 个 字符 : 
proc eedm eeti ngas agre ed 


然后 可 以 变换 -加 密 成 下 面 的 密 文 


rcpoemedeietgsnagearde 


注意 到 明文 的 最 后 一 个 短 分 组 ed 实际 上 填充 成 了 edu uu， 然后 加 密 成 dueDu ， 再 

从 密 文 分 组 中 删 掉 补 上 的 空格 。 解 密 密 钥 是 
m= (mI), a(2) °, n(3y +, a4) =(27,47,17,3") 

最 终 的 缩短 密 文 分 组 de 只 包含 两 个 字母 说 明了 在 相应 的 明文 分 组 中 没有 字符 与 3 
和 47 的 位 置 相 匹 配 ， 因 此 在 解密 过 程 正确 执行 以 前 ， 应 该 将 空格 重新 插入 到 缩短 的 密 
文 分 组 中 它们 原来 的 位 置 上 ， 以 便 将 分 组 恢复 成 添加 空格 的 形式 dueub 。 

注意 到 对 于 最 后 的 明文 分 组 较 短 的 情况 (比如 例 4-3 的 情形 )， 由 于 添加 的 字符 暴露 
了 所 用 密 钥 的 信息 ， 因 此 在 密 文 消息 中 不 要 留 下 例如 凯 这 样 的 添加 字符 。 


4.2.3 古典 密码 的 安全 性 


首先 指出 ， 古 典 密码 有 两 个 基本 工作 原理 : 代 换 和 换 位 。 它 们 仍 是 构造 现代 对 称 加 
密 算法 的 最 重要 的 核心 技术 。 后 面 介绍 代 换 和 换 位 密码 在 两 个 重要 的 现代 对 称 加 密 算法 
DES 和 AES 中 的 结合 。 

考虑 基于 字符 的 代 换 密码 ， 因 为 明文 消息 空间 就 是 字母 表 ， 每 个 消息 就 是 字母 表 中 
的 一 个 字符 , 加 密 就 是 逐 字符 地 将 每 一 明文 字符 代 换 为 一 个 密 文字 符 , 代 换 取决 于 密 钥 。 
在 加 密 一 个 长 字符 串 时 ， 如 果 密 钥 是 固定 的 ， 那 么 在 明文 消息 中 同一 个 字符 将 被 加 密 成 
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密 文 消息 中 一 个 固定 的 字符 。 

众所周知 ， 自 然 语 言 中 的 字符 有 稳定 的 频 度 ， 自 然 语 言 中 的 字符 频 度 分 布 知识 为 密 
码 分 析 《〈 由 已 知 密 文 消息 发 现 明文 或 加 密 密 钥 信 息 的 技术 ) 提供 了 线索 ， 例 4-1 表明 了 
这 一 情形 ， 该 例 中 的 字符 y 在 密 文 消息 中 高 频 出 现 ， 这 表明 一 定 有 一 个 固定 的 字符 在 相 
应 的 明文 消息 中 以 相同 的 频率 出 现 〈 事 实 上 这 个 字符 就 是 e， 在 英语 中 它 是 一 个 高 频 出 
现 的 字符 )。 简 单 代 换 密码 不 能 隐藏 基于 自然 语言 的 信息 ,基于 字符 频 度 研究 的 密码 分 析 
技术 的 详细 内 容 可 参阅 密码 学 的 有 关 教 材 [Denning 1982; Menezes 1997]. 

表 密 码 和 换 位 密码 都 比 简单 代 换 密码 安全 ， 但 是 ， 如 果 密 钥 很 短 而 消息 很 长 ， 那 么 
就 有 各 种 各 样 的 密码 分 析 技 术 能 够 攻破 这 样 的 密码 。 

然而 如 果 密 钥 的 使 用 满足 了 某 些 条 件 ， 那 么 古典 密码 ， 甚 至 是 简单 代 换 密码 也 可 以 
是 非常 安全 的 。 事 实 上 ， 在 正确 地 使 用 了 密 钥 以 后 ， 简 单 代 换 密码 可 以 广泛 应 用 于 密码 
体制 和 协议 。 


43 流 客 码 的 基本 概念 


流 密码 是 密码 体制 中 的 一 个 重要 体制 , 也 是 手工 和 机 械 密码 时 代 的 主流 。20 世纪 50 
年 代 ， 由 于 数字 电子 技术 的 发 展 ， 使 密 钥 流 可 以 方便 地 利用 以 移 位 寄存 器 为 基础 的 电路 
来 产生 ， 这 促使 线性 和 非 线性 移 位 寄存 器 理论 迅速 发 展 ， 加 上 有 效 的 数学 工具 ， 如 代数 
和 谱 分 析 理 论 的 引入 ， 使 得 流 密码 理论 迅速 发 展 和 走向 较 成 熟 的 阶段 。 同 时 由 于 它 实现 
简单 和 速度 上 的 优势 ， 以 及 没有 或 只 有 有 限 的 错误 传播 ， 使 流 密码 在 实际 应 用 中 ， 特 别 
是 在 专用 和 机 密 机 构 中 仍 保持 优势 。 已 提出 多 种 类 型 的 流 密 码 ， 但 大 多 是 以 硬件 实现 的 
专用 算法 , 目前 还 无 标准 化 的 流 密码 算法 。 本 章 将 对 流 密码 的 基本 理论 和 算法 进行 介绍 ， 
同时 也 讨论 一 些 最 近 提 出 的 新 型 流 密码 ， 如 混沌 密码 序列 和 量子 密码 。 有 关 密 码 的 综述 
可 参阅 [Rueppel 1986a, 1992]. 

流 密码 是 将 明文 划分 成 字符 〈 如 单个 字母 )， 或 其 编码 的 基本 单元 (如 0，1 数字 )， 
字符 分 别 与 密 钥 流 作用 进行 加 密 ， 解 密 时 以 同步 产生 的 同样 的 密 钥 流 实现 ， 其 基本 框图 
如 图 4-2 所 示 。 图 中 ，KG 为 密 钥 流 生成 器 ， 右 为 初始 密 钥 。 流 密码 强度 完全 依赖 于 密 钥 
流产 生 器 所 生成 序列 的 随机 性 (randomness〉 和 不 可 预测 性 (unpredictability)。 其 核心 
问题 是 密 钥 流 生 成 器 的 设计 。 保 持 收发 两 端 密 钥 流 的 精确 同步 是 实现 可 靠 解密 的 关键 
技术 。 


F Q zemi O i 


k; j 
Mi Ci Ci 
及 Oo 一 一 |En) 


图 4-2 流 密码 原理 框图 


IS 


85 


mm 网 络 安全 一 一 技术 与 实践 (第 2 版 ) ES 


43.1 流 密码 框图 和 分 类 


令 m=mm -m 是 待 加 密 消 息 流 ， 其 中 meM 。 密 文 流 c=cc…c…= 
E, (m)E, (m) E, (m;)…，c; EC。 其 中 低 }(i 宇 0) 是 密 钥 流 。 若 它 是 一 个 完全 随机 的 
非 周 期 序列 ， 则 可 用 它 实现 一 次 一 密 体制 。 但 这 需要 有 限 存储 单元 和 复杂 的 逻辑 函数 o 
实用 中 的 流 密码 大 多 采用 有 限 存 储 单元 和 确定 性 算法 ,因此 可 用 有 限 状 态 自动 机 (Finite 
State Automaton，FSA) 来 描述 。 如 图 4-3 所 示 。 


Kkp OF) = 


— G -| fikr 0) k -| E,(m)) =c; 


图 4-3 KG 的 有 限 状 态 自 动机 描述 


c =E,,(m,) (4-5) 
其 中 m, =D, (¢,) (4-6) 

k=f(k,0,) (4-7) 
而 

0, = fs(k 1-01) (4-8) 


是 第 i 时 刻 密 钥 流 生成 器 的 内 部 状态 ， 以 存储 单元 的 存 数 矢量 描述 ， 态 是 初始 密 钥 ， 太 
是 输出 函数 ， 太 是 状态 转移 函数 。 若 

c, = E,,(m,) =m, Ok, (4-9) 
则 称 这 类 密码 为 加 法 流 密码 。 

Eo, 与 明文 消息 无 关 ， 则 密 钥 流 将 独立 于 明文 ， 称 此 类 为 同步 流 密码 (Synchronous 
Stream Cipher，SSC)， 如 图 4-4 所 示 。 对 于 明文 而 言 ， 这 类 加 密 变 换 是 无 记忆 的 ， 但 它 
是 时 变 的 。 因 为 同一 明文 字符 在 不 同时 刻 ， 由 于 密 钥 不 同 而 被 加 密 成 不 同 的 密 文字 符 。 
此 类 密码 只 要 收发 两 端的 密 钥 流 生成 器 的 初始 密 钥 k, 和 初始 状态 相同 , 输出 的 密 钥 就 一 
样 。 因 此 ， 只 有 保持 两 端 精确 同步 才能 正常 工作 ， 一 旦 失 步 就 不 能 正确 解密 ， 必 须 等 到 
重新 同步 后 才能 恢复 正常 工作 。 这 是 其 主要 缺点 。 但 由 于 其 对 失 步 的 敏感 性 ， 使 得 系统 
在 有 窜 扰 者 进行 注入 、 删 除 、 重 放 等 主动 攻击 时 异常 敏感 而 有 利于 检测 。 此 类 体制 的 优 
点 是 传输 中 出 现 的 一 些 偶 然 错误 ， 只 影响 相应 位 的 恢复 消息 ， 没 有 差错 传播 〈Error 
Propagation)。 许 多 古典 密码 ， 如 周期 为 4 的 维 吉 尼 亚 密码 、 转 轮 密码 、 滚 动 密 钥 密码 、 
弗 纳 姆 密码 等 ， 都 是 同步 型 流 密码 。 同 步 型 流 密 码 在 失 步 后 如 何 重 新 同步 是 一 个 重要 技 


th 


二 二 二 | 有 限 记忆 = EO) 


密 钥 流 生成 器 KG 


图 4-4 同步 和 自 同 步 流 密码 
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术 研究 课题 ， 处 理 不 好 会 严重 影响 系统 的 安全 性 。 
另 一 类 是 自 同步 流 密码 (Self-Synchronous Stream Cipher，SSSC)。 如 图 4-4 中 虚线 
Mim. Ko, RMT (koom) Rima SHWE m,m,.---.m,_, 有 关 。 这 将 使 密 文 c 不 仅 
与 当前 输入 加 AK, 而 且 由 于 对 o; 的 关系 而 与 以 前 的 输入 mm,m,,…,m; ,有 关 。 一 般 在 
ARRAY n 级 存储 下 将 与 m,m,,…,m,，, 有关。 图 4-5 所 示 一 种 有 n 级 移 位 寄存 器 存储 的 密 
文 反馈 型 流 密码 。 每 个 密 文 数字 将 影响 以 后 n 个 输入 明文 数字 的 加 密 结果 。 此 时 的 密 钥 
Wik, = f kp cc ca) 。 由 于 ci 与 mi, 的 关系 ， 厂 最 终 要 受 输入 明文 数字 的 影响 。 
这 类 流 密码 的 密 钥 流 都 可 由 式 〈4-10) 表示 : 
k=/ m ,sm, „1> Ma) (4-10) 
其 中 
f:kıx M” >k (4-11) 
军事 上 称 这 类 流 密码 为 密 文 自 密 钥 (Ciphertext Autokey) 密码 。 

自 同步 流 密码 传输 过 程 中 有 一 位 (如 c; 位 〉 出 错 ， 在 解密 过 程 中 ， 它 将 在 移 存 器 中 
存活 n 个 节拍 ， 因 而 会 影响 其 后 n 位 密 钥 的 正确 性 ， 相 应 恢复 的 明文 消息 连续 ”位 会 受 
到 影响 。 其 差错 传播 是 有 限 的 。 但 这 类 体制 ， 收 端 只 要 连续 正确 地 收 到 n 位 密 文 ， 则 在 
相同 密 钥 作用 下 就 会 产生 相同 的 密 钥 ， 因 而 它 具 有 自 同步 能 力 。 这 种 自 恢复 同步 性 使 
得 它 对 帘 扰 者 的 一 些 主动 攻击 不 像 同步 流 密码 体制 那样 敏感 。 但 它 将 明文 每 个 字符 扩散 
在 密 文 多 个 字符 中 而 强化 了 其 抗 统计 分 析 的 能 力 。Maurer[1991] 给 出 了 自 同步 流 密码 的 
设计 方法 。 如 何 控制 自 同步 流 密码 的 差错 传播 以 及 它 对 安全 性 的 影响 可 参阅 相关 文献 。 
1 级 移 存 器 1 级 移 存 器 
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kr =] f f r= kr 
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图 4-5 自 同步 流 密码 


综 上 所 述 ， 实 际 应 用 中 的 密 钥 流 都 是 由 有 限 存 储 和 有 限 复杂 逻辑 电路 来 产生 的 ， 即 
用 有 限 状 态 机 来 实现 。 一 个 有 限 状态 机 在 确定 逻辑 连接 下 不 可 能 产生 一 个 真正 随机 序列 ， 
它 迟 早 要 步 入 周期 状态 。 因 而 不 可 能 用 它 来 实现 一 次 一 密 体制 。 但 是 可 以 使 这 类 机 器 产 
生 的 序列 周期 足够 长 (如 1050)， 而 且 其 随机 性 又 相当 好 ， 从 而 可 方便 地 近似 实现 人 们 
所 追求 的 理想 体制 。20 世纪 50 年 代 以 来 ， 以 有 限 自动 机 为 主流 的 理论 和 方法 得 到 了 迅 
速 发 展 。 近 年 来 虽然 出 现 了 不 少 新 的 产生 密 钥 流 的 理论 和 方法 ， 如 混沌 密码 、 胞 元 自动 
机 密码 、 热 流 密码 等 ， 但 在 有 限 精度 的 数字 实现 的 条 件 下 最 终 都 可 归结 为 用 有 限 自动 机 
来 描述 。 因 此 ， 研 究 这 类 序列 产生 器 的 理论 是 流 密 码 研究 中 最 重要 的 基础 。 


43.2 ” 密 钥 流 生 成 器 的 结构 和 分 类 
Rueppel[1986b] 用 一 个 更 清楚 的 框图 , 将 密 钥 流 生成 器 分 成 两 个 主要 组 成 部 分 ， 即 驱 
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动 部 分 和 组 合 部 分 ， 如 图 4-6 所 示 。 驱 动 部 分 产生 控制 生成 器 的 状态 序列 5 ,5,,…S,， 
用 一 个 或 多 个 长 周期 线性 反馈 移 位 寄存 器 构成 ， 它 控制 生成 器 的 周期 和 统计 特性 。 非 线 
性 组 合 部 分 对 驱动 器 各 输出 序列 进行 非 线 性 组 合 ， 控 制 和 提高 生成 器 输出 序列 的 统计 特 
性 、 线 性 复杂 度 和 不 可 预测 性 等 ， 以 实现 Shannon 提出 的 扩散 和 混淆 ， 保 证 输出 密 钥 流 
的 密码 的 强度 。 

为 了 保证 输出 密 钥 流 的 密码 强度 ， 对 组 合 函 数 忆 有 下 述 要 求 : 

(1) F 将 驱动 序列 变换 为 滚动 密 钥 序 列 ， 当 输入 为 二 元 随机 序列 时 ， 输 出 也 为 二 元 
随机 序列 。 

(2) 对 于 给 定 周期 的 输入 序列 ， 构 造 的 下 使 输出 序列 的 周期 尽 可 能 大 。 

(3) 对 于 给 定 复杂 度 输入 序列 ， 构 造 的 输出 序列 的 复杂 度 尽 可 能 大 。 

(4) 五 的 信息 泄漏 极 小 化 (从 输出 难以 提取 有 关 密 钥 流 生成 器 的 结构 信息 )。 

(5) 五 应 易于 工程 实现 ， 工 作 速 度 高 。 

(6) 在 需要 时 ，F 易于 在 密 钥 控 制 下 工作 。 


存储 器 存储 器 
J 
Hs, 一 | 线性 | 
= Sy 一 | 
(a) 驱动 部 分 (b) 组 合 部 分 


4-6” 密 钥 流 生成 器 组 成 


驱动 器 一 般 利用 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register, LFSR), 特别 
是 最 长 或 m 序列 产生 器 实现 。 非 线性 反馈 移 位 寄存 器 (NLFSR〉 也 可 作为 驱动 器 , 但 由 
于 在 数学 分 析 上 的 困难 而 很 少 采 用 。NLFSR 输出 序列 的 密码 特性 较 LFSR 输出 序列 要 好 
得 多 。 同 样 由 于 分 析 上 的 困难 性 ， 目 前 所 得 结果 有 限 ， 从 而 限制 了 它 的 应 用 。 

当前 密码 上 广泛 应 用 的 非 线 性 序列 是 图 4-6 所 示 的 由 线性 序列 经 非 线 性 组 合 所 产生 
的 密 钥 流 。 这 实际 上 是 一 种 非 线 性 前 馈 Cforward) 序列 生成 器 。 这 类 序列 在 较 好 掌握 的 
线性 序列 组 S, S, Sy 的 基础 上 ， 利 用 一 些 可 以 用 布尔 逻辑 、 谱 分 析 理 论 等 数学 工具 来 
设计 和 控制 的 非 线性 组 合 函数 ， 使 其 组 合 输出 序列 满足 密码 强度 要 求 。 常 用 的 方法 有 逻 
辑 与 、J-K 触发 器 、 多 路 复 用 器 、 钟 控 、Bent 函数 、 背 包 函 数 等 。 


4.3.3” 密 钥 流 的 局 部 统计 检验 


对 于 密 钥 流 生成 器 输出 的 密 钥 序列 ， 必 须 进 行 必要 的 统计 检验 ， 以 确保 密 钥 序列 的 
伪 随 机 性 和 安全 性 。 已 经 设计 好 的 密 钥 生成 器 ， 原 则 上 可 以 计算 其 输出 的 整个 周期 上 的 
一 些 伪 随 机 性 G-1 一 G-3。 但 由 于 其 输出 序列 周期 都 很 长 ， 一 般 在 10”~10” ， 因 而 不 可 
能 直接 计算 ， 只 能 利用 数理 统计 方法 进行 局 部 伪 随 机 性 检验 。 常 用 的 方法 有 频 度 检验 、 序 
偶 或 联 码 〈 测 定 相 邻 码 元 的 相关 性 ) 检验 、 扑 克 《〈 图 样 分 布 ) 检验 、 游 程 或 串 长 分 布 检验 、 
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自 相关 特性 检验 和 局 部 复杂 性 检验 等 。 通 过 这 类 检验 的 密 钥 序列 可 以 在 统计 上 证 实 其 分 布 
的 均匀 性 。 但 还 不 能 证 实 其 独立 性 ， 有 一 些 方法 可 以 演示 它 没有 明显 的 相关 性 ， 一 般 是 利 
用 这 些 方法 来 试验 直到 对 其 独立 性 有 足够 信任 。 当 然 ， 这 并 不 能 确保 其 安全 性 ， 因 此 还 要 
对 其 密码 强度 进行 估计 ， 需 要 从 其 所 用 非 线 性 函数 构造 和 所 具有 的 密码 性 质 进行 分 析 。 有 
关 局 部 统计 检验 可 参阅 有 关 书 刊 和 标准 [Maurer 1992b; Menezes 等 1997]。 

如 前 所 述 ， 密 钥 流 必须 具有 随机 性 ， 同 时 在 收 端 还 应 能 够 同步 生成 它 ， 否 则 就 不 能 实 
现 解 密 。 在 网 络 安全 系统 中 ， 如 交互 认证 协议 中 Nonce 一 次 性 随机 数 )、 密 钥 分 配 系 统 
的 会 话 密 钥 等 ， 需 要 一 种 一 次 性 且 不 要 求 在 收 端 重新 同步 产生 的 随机 数 。 对 这 类 随机 数 生 
成 器 的 基本 要 求 和 密 钥 流 生成 器 一 样 , 必须 满足 随机 性 和 不 可 预测 性 。 由 于 它们 一 般 较 短 ， 
所 以 在 实现 上 与 密 钥 流 生成 器 不 太一 样 ， 本 章 后 面 将 介绍 生成 随机 数 的 一 些 具体 方法 。 


44 快速 软 、 硬 件 实现 的 流 密码 算法 


近年 来 ， 人 们 对 简化 流 密码 的 软 硬 件 实现 进行 了 大 量 的 研究 ， 提 出 了 不 少 新 的 易于 
实现 的 算法 ， 有 些 是 成 功 的 ， 有 些 虽 不 安全 ， 但 在 设计 思想 上 有 参考 价值 。 有 些 算 法 适 
合 硬件 实现 、 有 些 算 法 适合 软件 实现 。 有 些 算 法 则 是 按 兼顾 两 者 的 需要 来 设计 的 。 软 件 
密码 的 计算 量 是 算法 和 算法 实现 质量 的 函数 ， 一 个 用 硬件 实现 的 好 算法 ， 未 必 在 软件 实 
现 上 也 是 最 佳 的 。DES 这 一 在 硬件 实现 上 很 有 效 的 算法 也 不 例外 。 所 以 ， 寻 找 适 用 一 般 
计算 机 实现 的 最 佳 软件 算法 ， 也 需要 精心 设计 [Schneier 等 1997]。 本 节 将 介绍 其 中 一 些 
有 意义 的 算法 。 

44.1 A5 


AS 是 欧洲 数字 蜂窝 移动 电话 系统 (Group Special Mobile, GSM) 中 采用 的 加 密 算法 ， 
用 于 电话 手机 到 基站 线路 上 的 加 密 。 但 在 链 路 上 的 其 他 段 不 加 密 ， 因 此 电话 公司 很 容易 
窃听 用 户 会 话 。 

AS 由 法 国 设计 。 在 20 世纪 80 年 代 中 期 ，NATO 内 部 对 GSM 的 加 密 有 过 争议 ， 有 
人 认为 加 密会 妨碍 出 口 ， 而 另 有 些 人 则 认为 应 当 采 用 强度 大 的 密码 进行 保护 。 

AS 由 3 个 稀疏 本 原 多 项 式 构成 的 LFSR 组 成 ， 级 数 分 别 为 19、22 和 23， 其 初 态 由 
密 钥 独立 赋值 。 输 出 是 3 个 LFSR 输出 的 异 或 ， 采 用 可 变 钟 控 方式 ， 控 制 位 从 每 个 寄存 
器 中 间 附 近 选 定 。 若 控制 位 中 有 两 个 或 3 个 取 值 为 1， 则 产生 这 种 位 的 寄存 器 移 位 ; 若 
两 个 或 3 个 控制 位 为 0， 则 产生 这 种 位 的 寄存 器 不 移 位 。 显 然 ， 在 这 种 工作 于 停 走 
(stop/go) 型 的 相互 钟 控 〈 或 锁定 ) 方式 下 ， 任 一 寄存 器 移 位 的 概率 为 34。 走 遍 一 个 循 
环 周期 大 约 需要 (22 -1D)x4/13 个 时 钟 。 

攻击 AS 要 用 2° 次 加 密 来 确定 两 个 寄存 器 的 结构 , 而 后 从 密 钥 流 决定 第 3 个 LFSR。 
搜索 密 钥 机 已 在 设计 之 中 [Chambers 1994]. 

AS 的 基本 想法 不 错 , 效率 高 ,可 通过 所 有 已 知 统计 检验 标准 。 其 唯一 缺点 是 移 存 器 
级 数 短 ,其 最 短 循环 长 度 为 4/3x2* ,是 最 长 的 LFSR 的 级 数 ,总 级 数 为 19+22+23=64。 
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可 以 用 穷尽 搜索 法 破译 。 若 A5 采用 长 的 、 抽 头 多 的 LFSR， 它 会 更 安全 。 
44.2 ”加 法 流 密码 生成 器 


1. 加 法 生成 器 

以 nb 字 为 基本 单元 ， 其 初始 存 数 为 m 个 nb 字 x,x,,…,x,, 组 成 的 阵列 ， 按 递归 关系 
式 给 出 i 时 刻 的 输出 字 x S= aata +a +wx Mod M。 其 中 ，+ 号 是 
modM 加 法 运算 ,一般 M =2”。 适 当选 择 系数 a(j=0,1…,n 一 1)， 可 使 生成 序列 的 周 
期 极 大 化 。Brent 给 出 了 产生 最 大 周期 序列 的 条 件 。 选 用 次 数 大 于 2 的 本 原 3 次 式 , 且 由 
Fibonacci 序列 的 最 低位 构成 的 数 序列 是 以 特征 多 项 式 x”+》aix ，a!=a, mod 2 的 
LFSR 所 生成 的 序列 。 

例如 ，[55，24，0] 所 给 定 的 递 推 式 为 

Xi = (Xss + X24) mod 2” 

本 原 式 中 多 于 3 项 时 ， 还 需 附加 一 些 条 件 才能 使 周期 为 最 大 。 称 上 述 生成 器 为 加 法 
(additive) 生成 器 。Knuth 曾 以 Fibonacci 数 决定 递 推 式 的 系数 ， 称 其 为 滞后 Cagged) 
Fibonacci 生成 器 。 由 于 这 种 生成 器 以 字 而 不 是 按 位 生成 密 钥 流 ， 因 此 速度 较 快 。 


2. FISH 算法 

Bl6cher 等 [1994] 利 用 滞后 Fibonacci 生成 器 代替 二 元 收缩 式 生 成 器 ， 并 增加 一 个 映 
射 : GF(2") 一 GF(C2) 来 生成 32b 的 流 密码 和 相应 明文 或 密 文 异 或 实现 加 密 和 解密 , 称 为 
Fibonacci 收缩 生成 器 ， 简 称 FISH 算法 。 实 现 框 图 如 图 4-7 所 示 。 


tt Fibonacci iG 
生成 器 4 


输出 密 钥 流 扩 


Hig Fibonacci SL d 
生成 器 5 


4-7 FISH 生成 器 


Min, =32,ns =32，4 和 5 均 为 滞后 Fibonacci 生成 器 寄存 器 ， 其 初始 状态 由 密 钥 决 
定 。 滞 后 Fibonacci 生成 器 的 最 低位 的 序列 由 一 个 本 原 3 次 多 项 式 所 决定 的 LFSR 生成 ， 
满足 


a, =4,_,,+4,_,,mod2” (4-12) 
S =s a + 8,4, mod 2 (4-13) 

映射 :GF(2”) > GF), BK S 寄存 器 的 32b 矢量 映射 为 其 最 低位 
J (babbo) = 2p (4-14) 


若 b =1， 则 输出 a, 和 s,， 若 b=0， 则 丢弃 a, 和 s,， 继 续 移 位 运行 。 由 此 可 以 得 到 
32b 字 序 列 0,c,… M dosd, 将 它们 分 别 组 对 为 (cu,cxsa) Gao) > FHP RE 
辑 式 得 到 

2, = Cy, B (dy, Adag) (4-15) 
Sos = dag AG], AG) (4-16) 
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ky =e ® fu (4-17) 
bin= Coin ® Sry (4-18) 


Ht, ORMBMRR, ARDEN. {E 33MHz 的 PC 上 可 实现 15Mb/s 加 密 。 已 
通过 碰撞 、 相 关 、 式 样 采集 (Coupon Collect)、 频 度 、 非 线性 复杂 度 、 扑 克 、 秩 、 串 长 、 
iw. Æ m-H (overlapping). Ziv-Lempel 复杂 度 等 检验 ， 表 明 它 具有 良好 的 随机 性 ， 

且 特 别 适 于 软件 快速 实现 。 


3. PIKE 算法 

虽然 FISH 通 过 了 各 类 统计 随机 性 检验 ,但 Anderson 指出 它 仍 不 够 安全 大 约 可 用 2° 
次 试验 攻破 。 为 此 Anderson 参照 AS 的 设计 思想 , 对 FISH 进行 改进 , 提出 所 谓 PIKE 的 
算法 。 它 采用 3 个 Fibonacci 生成 器 : 

a; =4,_55 + a; mod 2” 
a, =4,_,, + 4,_,mod2” 
a; = 4,55 + 4, 49 mod2” 

FISH 的 控制 位 不 是 进位 位 ， 而 是 最 低位 的 位 ， 否 则 攻击 会 更 难 。 因 此 PIKE 采用 进 
位 位 来 控制 。 若 所 有 3 个 进位 位 取 值 一 样 ， 则 3 个 寄存 器 都 推进 一 位 ， 否 则 将 推进 两 个 
有 相同 进位 位 的 寄存 器 。 控 制 将 迟 后 8 个 循环 ， 每 当 更 新 状态 之 后 ， 就 检查 控制 位 ， 并 
将 一 个 控制 nybble 写 到 一 个 寄存 器 中 。 此 寄存 器 以 下 一 次 更 新 存 数 移 4 位 。 在 某 些 处 理 
器 下 ， 利 用 校 验 位 作为 控制 可 能 更 方便 ， 看 来 这 是 一 种 可 接受 的 变通 方法 。 

下 一 个 密 钥 流 字 与 3 个 寄存 器 的 所 有 低位 字 进 行 异 或 。 此 算法 较 FISH 稍 快 ， 每 个 
密 钥 流 字 平 均 需 要 2.75 次 更 新 计算 值 ， 而 不 是 3 次 。 为 了 保证 采用 最 小 长 度 序列 的 比率 
很 小 ， 限 定 在 生成 2” 个 字 后 ， 生 成 器 重新 注入 密 钥 。 缺 少 密 钥 供应 的 用 户 可 以 利用 杂 
BAB SHA 来 扩充 ， 以 提供 700 B 初始 状态 。 此 方案 还 没有 经 受 多 少 密码 分 析 。 


4. Mush 算法 

Mush 算法 由 Wheeler 提出 [Schneier 1996], 采用 两 个 Fibonacci 生成 器 4 和 B 进行 相 
互 钟 控 。 若 4 有 进位 ， 则 B 被 驱动 ， 若 B 有 进位 ， 则 4 被 驱动 。 若 4 被 驱动 有 进位 时 ， 
则 置 进 位 bit; Æ B 被 驱动 有 进位 时 ， 则 置 进 位 bit。 最 后 输出 密 钥 字 由 4 和 8 的 输出 异 
或 得 到 , 产生 一 个 密 钥 字 。 平均 需要 3 次 迭代 ， 若 适当 选择 系数 ， 且 4 与 B 的 级 数 互 素 ， 
则 可 保证 输出 密 钥 流 的 周期 极 大 化 。 目 前 尚 无 有 关 Mush 的 密码 分 析 结 果 。 


4.4.3 RC4 


RC4 是 由 RSA 安全 公司 的 Rivest 在 1987 年 提出 的 密 钥 长 度 可 变 流 密码 ， 但 其 算法 
细节 一 直 未 公开 。1994 年 9 月 有 人 在 Cypherpunks 邮递 表 中 公布 了 RC4 的 源 代码 ,并 通 
过 Internet 的 Usenet newsgroup sci.crypt 迅速 传 遍 全 球 。 虽 然 RC4 已 不 能 作为 产品 推销 ， 
但 RSA 公司 至 今 尚未 公开 有 关 它 的 文件 [Rivest 1992; Schneier 1996]. 

该 算法 工作 于 OFB 模式 ， 密 钥 流 与 明文 独立 ， 利 用 8X8 ASA: Sor Sys cory Soss» 
在 变 长 密 钥 控制 下 对 0，1，…，255 的 数 进行 置换 。 它 有 两 个 计数 器 i Ay, 初始 时 都 为 0。 

它 通过 下 述 算 法 产生 随机 字 节 : 
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i=(i+1)mod 256 
J=(U+S,)mod 256 
interchange S,and S, 


t=(S, + S,)mod 256 


K=S, 
字 节 下 与 明文 异 或 得 到 密 文 , 或 与 密 文 异 或 得 到 明文 , 其 加 密 速 度 比 DES 快 10 倍 。 
S 盒 的 初始 化 过 程 如 下 : 首先 将 其 进行 线性 填 数 ， 即 So=0，Si=1，…，$ss=255， 然 


后 以 密 钥 填 入 另 一 个 256 字 节 的 阵列 , 密 钥 不 够 长 时 可 重复 利用 给 定 密 钥 以 填 满 整个 阵 : 
kos kis STM kz550 将 指数 7 置 0， 并 执行 下 述 程序 : 


for i = 0 to 255 
j= (jtSitki) mod 256 
interchange Sj; and Sj 


RSA DSI 声称 ，RC4 对 差分 攻击 和 线性 分 析 具 有 免疫 力 ， 没 有 短 循环 ， 且 具有 高 度 
非 线 性 。 目 前 尚 无 它 的 公开 分 析 结 果 。 它 大 约 有 256! x256 = 2 个 可 能 的 状态 。 各 S 
在 i 和 jj 的 控制 下 卷 入 加 密 。 指 标 i 保 证 每 个 元 素 变化 ， 指 标 j 保证 元 素 的 随机 改变 。 该 
算法 简单 明了 ， 易 于 编程 实现 。 

可 以 设想 利用 更 大 的 S 盒 和 更 长 的 字 ， 当 然 不 一 定 要 采用 16X16 个 S 盒 ， 否 则 ， 
初始 化 工作 将 极其 漫长 。 

40b 密 钥 的 RC4 允许 出 口 , 但 其 安全 性 是 无 保证 的 。 已 有 几 十 种 采用 RC4 算法 的 商 
业 产品 ， 其 中 包括 Lottus Notes, Apple 公司 的 AOEC， 以 及 Oracle Secure SQL， 它 也 是 
美国 移动 通信 技术 公司 的 CDPD 系统 的 一 个 组 成 部 分 。 

关于 分 析 RC4 的 攻击 方法 有 许多 公开 发 表 的 文献 [Knudsen 等 1998; Mister 等 1998; 
Mantin 等 2001]， 但 没有 哪 种 方法 对 于 攻击 足够 长 度 的 密 钥 (如 128 位 的 RC4 有 效 。 
值得 注意 的 是 ，Fluhrer 等 的 报告 指出 ， 用 于 为 802 .11 无 线 局 域 网 提供 机 密 性 的 WEP， 
易于 受到 一 种 特殊 攻击 方法 的 攻击 〈 见 第 11 章 )。 从 本 质 上 讲 ， 这 个 问题 并 不 在 ROA 本 
身 , 而 是 作为 RC4 中 输入 密 钥 的 生成 途径 有 漏洞 。 这 种 特殊 的 攻击 方式 不 适用 于 其 他 使 
用 RC4 的 应 用 。 通 过 修改 WEP 中 密 钥 的 生成 途径 ， 也 可 以 避免 这 个 攻击 。 这 个 问题 恰 
恰 说 明 设 计 一 个 安全 系统 的 困难 性 不 仅 包括 密码 算法 本 身 ， 还 包括 协议 如 何 正 确 地 使 用 
这 些 密码 算法 。 

444 祖冲之 密码 

2011 年 9 月 19—21 H, 在 日 本 福冈 召开 的 第 53 次 第 三 代 合作 伙伴 计划 (3GPP) 系 
统 架构 组 (SA) 会 议 上 ， 我 国 设计 的 祖冲之 密码 算法 (ZUC) 被 批准 成 为 新 一 代 宽带 无 
线 移动 通信 系统 (LTE) 国际 标准 ， 即 4G 的 国际 标准 。 这 是 我 国 商用 密码 算法 首次 走出 
国门 参与 国际 标准 竞争 ， 并 取得 重大 突破 。ZUC 成 为 国际 标准 提高 了 我 国 在 移动 通信 和 领 
域 的 地 位 和 影响 力 ， 对 我 国 移动 通信 产业 和 商用 密码 产业 发 展 均 具有 重要 意义 。 

2012 年 3 H 21 H, 国家 密码 管理 局 发 布 正式 公告 , 将 ZUC 作为 中 国 商用 密码 算法 。 
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我 国 向 3GPP 提交 的 算法 标准 包含 如 下 内 容 : 

(1) 祖冲之 密码 算法 (ZUC): 用 于 产生 密 钥 序列 。 
(2) 128-EEA3: 基于 ZUC 的 机 密 性 算法 。 

(3) 128-EIA3: 基于 ZUC 的 完整 性 保护 算法 。 


1. ZUC 算法 

ZUC 本 质 上 是 一 个 密 钥 序列 产生 算法 , 其 输入 为 128 比特 的 初始 密 钥 和 128 比特 的 
初始 向 量 ， 输 出 为 32 比特 的 密 钥 字 序列 。 其 逻辑 上 分 为 三 层 ， 分 别 是 : 16 级 线性 反馈 
移 位 寄存 器 (LFSR)， 比 特 重组 (BR)， 非 线性 函数 Fo 

@ LFSR 以 一 个 有 限 域 GFC2-1) 上 的 16 次 本 原 多 项 式 为 连接 多 项 式 ， 输 出 为 
GF(2*"-1) EÉ m 序列 。 

@ BR 从 LSFR 的 状态 中 取出 128 位 , 拼 成 4 个 32 位 字 (xo, x1, xX xs)。 JERE R F 
从 BR 接受 3 个 32 MF (xo, x, z)， 经 过 异 或 、 循 环 移 位 、 模 22” 、 非 线性 5 盒 变 换 ， 输 
出 32 位 字 We 


<<<16 


4-8 ZUC 算法 结构 图 


A) 线性 反馈 移 位 寄存 器 (LFSR) 

LEFSR 由 16 个 31 位 的 寄存 器 (so s1,…, Sia, sis) 组 成 ,每 一 个 都 是 定义 在 素 域 GF(23-1) 
上 。LFSR 有 两 种 状态 : 初始 化 状态 和 工作 状态 。 详 细 步 又 如 下 所 述 。 

LFSRWithInitialisationMode(w) 

{ 
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D v=2" ss +2 s +2259 +25, +(142°)s, mod (2-1); 
OR (v+u) mod Ci -1) ; /是 w 通过 舍弃 最 低位 比特 得 到 
@ If s,,=0, then set Sis =2"-1; 


® (51,525 .615516 ) (59.5, js 
} 
LFSRWithWorkMode( ) 
í 


O sis =2" 545 +2" s13 + 27 s10+ 2” s4+ (1+2°)so mod (2°'— 1); 
®© If sı6= 0, then set 515 = 2°- 1; 
© (EA -5s 1) > (S0>51> ne) o 
} 
(2) 比特 重组 (BR) 
比特 重组 是 一 个 过 渡 层 ， 其 主要 从 LEFSR 的 8 个 寄存 器 单元 抽取 128 比特 内 容 组 成 
4 个 32 比特 的 字 ， 以 供 下 层 非 线性 函数 和 密 钥 输出 使 用 。 详 细 步 又 为 


Bitreorganization( ) 


{ 
-XESS /其 中 符号 | 表示 两 个 字符 首尾 拼接 
© X=suzl sons 
图 X=5l Ssa; 
@ X, =szll Son 。 
} 
G) JERRI F 
FAPA 32 位 存储 单元 Ra Ro WAK xxs HN 32 位 的 字 W. EAR 
为 
F(X% x) 
{ 
OW=(H@OR) E] Rs /其 中 符号 此 表示 mod 2” 加 法 
© m= R Ex: 
@ M =R, ® x 
© R=S(LW Wa); 
| L,(X)=X ®(X <<<, 2) O(X <<<, 10) D(X <<<; 18) (X <<<,, 24) 
© R, =S(L, (Wx in ))- 
/| L,(X)=X ®(X <<<, 8) ®(X <<<, 14) O(X <<<, 22) D(X <<<; 30) 
/下 标 32 表 示 X 是 32 位 的 数 ，5 为 5 盒 运 算 。 
} 
这 里 的 S 盒 由 4 个 并 置 的 8 进 8 出 的 S 盒 构成 , 即 5 = (Sp, S1, Sr, S3) HPS = So, S3 = Shy 
于 是 有 S = (So, S1, S0,Si)o SHS, FS, 的 置换 运算 如 表 4-1 和 表 4-2 所 示 。 
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(4) 密 钥 封装 

密 钥 封装 过 程 将 128 位 的 初始 密 钥 KEY 和 128 位 的 初始 向 量 IV 扩 展 为 16 个 31 位 字 
作为 LFSR 变量 s,s,,…, Sao Sis 的 初始 状态 。 设 KEY 和 人 分 别 为 : 

KEY =Agll All Al. ll &,5 
IV=ivl all i, IL..Il Ps 

则 密 钥 封装 过 程 如 下 : 

O HDA 240 位 常量 ， 按 如 下 方式 分 成 16 个 15 位 的 字 串 : D=do ll dy Ile | diss 

© 对 于 0<i<15, H si= k; ll dll ivi 

(5) 算法 运行 

ZUC 算法 运行 ， 分 为 初始 化 阶段 和 工作 阶段 。 

初始 化 阶段 将 128 位 的 初始 密 钥 玉 和 128 位 的 初始 向 量 IV 按 照 上 面 的 密 钥 封 装 方法 
封装 到 LFSR 的 寄存 器 单元 变量 s,s,,…, SaS 中 ， 作 为 LFSR HIA, Rio R 也 初始 化 
为 0， 重 复 执行 下 述 过 程 32 次 : 

© Bitreorganization( ); 

© W = F(xo, x1, X2); 

@ LFSRWithInitialisationMode(u >>1). 

工作 阶段 首先 需要 先 将 下 面 的 操作 运行 一 轮 : 

© Bitreorganization( ); 

@ Feo xx); /此 处 丢弃 输出 结果 

@@ LFSRWithWorkMode( )。 

然后 进入 密 钥 输 出 阶段 ， 将 下 面 的 操作 运行 一 次 就 会 生成 一 个 32 比特 密 钥 Z。 

GD Bitreorganization( ); 

@ Z= F(xo, x1, X2) ® x33 

@ LFSRWithWorkMode( )。 


2. 基于 ZUC 的 机 密 性 算法 128-EEA3 

128-EEA3 主要 用 于 4G 移动 通信 中 移动 用 户 设备 (User Equipment, UE) 和 核心 网 (Core 
Network) 之 间 无 线 链 路 上 信 令 和 数据 的 加 解密 。128-EEA3 加 解密 原理 如 图 4-9 所 示 。 
oN pe RECTION 


BEARI 
LENGTH COUNT 


BEARI 
LENGTH COUNT 


人 人 密 钥 序列 字 
D = 


明文 WV EX EX 明文 


发 送 方 接收 方 
图 4-9 128-EEA3 算法 原理 图 
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利用 初始 密 钥 KEY 和 初始 向 量 IV， 执 行 ZUC 算法 ， 产 生 工 个 32 位 字 的 加 解密 密 
钥 流 。 设 长 度 为 LENGTH 的 输入 比特 流 为 : 
IBS= IBS[0]|| IBS[1]||---||IBS[LENGTH-1 ] 
对 应 的 输出 比特 流 为 : OBS= OBS[0]]| OBS[1]]|--+||OBS[LENGTH-1] 
加 解密 只 需要 把 明文 〈 密 文 ) 与 加 解密 密 钥 模 2 相 加 即 可 : 
OBS[i]= IBS[i]® Ki], i=0, 1,2, … LENGTH-1 
输入 参数 定义 如 下 : 
LENGTH: 明文 消息 流 的 比特 长 度 ，32 位 
COUNT: 计数 器 ，32 位 
BEARER: 承载 层 标识 ，5 位 
DIRECTION: 传输 方向 标识 ，1 位 
CK: 机 密 性 密 钥 ，128 位 ， 由 ZUC 产生 


3. 基于 ZUC 的 完整 性 算法 128-EIA3 
128-EIA3 主要 用 于 4G 移动 通信 中 移动 UE 和 核心 网 之 间 的 无 线 链 路 上 的 通信 信 令 
和 数据 的 完整 性 认证 , 并 对 信 令 源 进行 认证 。 主要 由 128-EIA3 产生 消息 认证 码 (MAC), 
通过 验证 MAC 值 ， 实 现 对 消息 的 完整 性 认证 。 
128-EIA3 的 工作 原理 如 图 4-10 所 示 。 
COUNT BEARER DIRECTION 


1 

K }-—=| ZUC 
1 

4 | 2 ot Zn 

消息 累加 器 T 
1 
1 

MAC 


4-10 128-EIA3 算法 原理 图 
利用 初始 密 钥 KEY 和 初始 向 量 IV， 执 行 ZUC 算法 ， 产 生 工 个 32 位 的 完整 性 密 钥 
字 流 。 设 需要 计算 消息 认证 码 的 消息 比特 序列 为 
AM=m[0], mm[1]… m[LENGTH-1]. 
设 7 为 一 个 32 比特 的 字 变 量 ，MAC 计算 如 下 : 
MACComputation( ) 
{ 
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O Set T=0; 
@ For (I= 0; I < LENGTH; I++) 
If m[J]=1 then T= T® K; //Ki = k{i] || k{i+1] … || Ki+31] 
@ End For 
(0) T=T® KrenorH; 
© MAC= TO K3oxa-1)2 

} 

最 后 ， 讨 论 一 下 ZUC 算法 的 安全 性 。 

ZUC 算法 在 LFSR ERAT GF(2” -1) 上 的 16 次 本 原 多 项 式 , 其 输出 序列 随机 性 好 、 
周期 足够 大 。 在 比特 重组 部 分 ， 重 组 的 数据 具有 良好 的 随机 性 ， 且 出 现 的 重复 概率 足够 
小 。 在 非 线 性 函数 下 中 采用 了 两 个 存储 部 件 R、 二 个 线性 部 件 工 和 两 个 非 线 性 5S 盒 ， 使 
其 输出 具有 和 良好 的 非 线 性 、 混 淆 特性 和 扩散 特性 。 设 计 者 经 过 评估 ， 认 为 能 够 抵抗 弱 密 
钥 攻击 、Guess-and-Determine 攻击 、Binary Decision trees 攻击 、 线 性 区 分 攻击 、 代 数 攻 
击 和 选择 初始 向 量 攻击 等 多 种 密码 攻击 。 

在 侧 信道 攻击 方面 ， 理 论 分 析 与 实验 表明 ，ZUC 算法 经 不 起 DPA 类 侧 信道 的 攻击 。 
因此 在 硬件 实现 时 必须 采取 保护 措施 。 

另外 ，128-EIA3 长 度 为 32 位 ， 穷 举 攻击 的 复杂 度 为 0(2”)， 显然 太 短 了 。 这 可 能 是 
移动 通信 的 实时 性 要 求 导致 。 实 际 应 用 中 应 当 采 取保 护 措施 。 

随 着 使 用 时 间 的 推移 ，ZUC 算法 安全 性 的 理论 分 析 和 实践 检验 会 更 加 充分 。 


45 分 组 密码 概述 


在 许多 密码 系统 中 ， 单 钥 分 组 密码 是 系统 安全 的 一 个 重要 组 成 部 分 。 分 组 密码 易于 
构造 拟 随机 数 生成 器 、 流 密码 、 消 息 认 证 码 (MAC) 和 杂凑 函数 等 ， 还 可 进而 成 为 消息 
认证 技术 、 数 据 完整 性 机 构 、 实 体 认 证 协议 以 及 单 钥 数 字 签 名 体制 的 核心 组 成 部 分 。 实 
际 应 用 中 对 于 分 组 码 可 能 提出 多 方面 的 要 求 ， 除 了 安全 性 以 外 ， 还 有 运行 速度 、 存 储量 
〈 程 序 的 长 度 、 数 据 分 组 长 度 、 高 速 缓存 大 小 )、 实 现 平 台 〈 软 硬件 、 芯 片 )、 运 行 模式 等 
限制 条 件 。 这 些 都 需要 与 安全 性 要 求 之 间 进 行 适当 的 折 中 选择 。 

分 组 密码 (Block Cipher) 是 将 明文 消息 编码 表示 后 的 数字 序列 x ,x,,…,x; ， 划 分 成 
KA m 的 组 x= (xo xo ts Xm)» 各 组 (长 为 m 的 矢量 ) DIWEZH k = (kokka) 
控制 下 变换 成 等 长 的 输出 数字 序列 y= Qo yo o Yn) KAn 的 矢量 )， 其 加 密 函数 
E:V, xK >V, V,,(V,) EMM #218], KARA, WA 4-11 所 示 。 它 与 流 密 
码 的 不 同 之 处 在 于 输出 的 每 一 位 数字 不 是 只 与 相应 时 刻 输入 的 明文 数字 有 关 ， 而 是 与 一 
组 长 为 m 的 明文 数字 有 关 。 在 相同 密 钥 下 , 分 组 密码 对 长 为 m 的 输入 明文 组 所 实施 的 变 
换 是 等 同 的 ， 所 以 只 需 研 究 对 任 一 组 明文 数字 的 变换 规则 。 这 种 密码 实质 上 是 字 长 为 m 
的 数字 序列 的 代 换 密码 。 
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图 4-11 分 组 密码 框图 


通常 取 n=m。 车 n>m， 则 为 有 数据 扩展 的 分 组 密码 。 若 n<m， 则 为 有 数据 压缩 的 分 
组 密码 。 在 二 元 情况 下 , x By 均 为 二 元 数字 序列 ， 它 们 的 每 个 分 量 x,y eGF(C2) 。 下 面 
主要 讨论 二 元 情况 。 将 长 为 n 的 二 元 x 和 表示 成 小 于 2 HER, e 


nl 

X= (X97 %p4) > 2 x2 xl (4-19) 
i=0 
n-1 

y= Lz Al vil (4-20) 
i=0 


则 分 组 密码 就 是 将 |e {0,1…,2” — 1} BRA yl] © {0,1…,2” 1}, BA (0,1,---,2” -了 到 其 
自身 的 一 个 置换 x， 即 
y=n(x) (4-21) 
置换 的 选择 由 密 钥 大 决定 。 所 有 可 能 置换 构成 一 个 对 称 群 SYM(2") ， 其 中 元 素 个 数 
或 密 钥 数 为 
# ty =2"! (4-22) 
例如 n=64b 时 ， 
(2%)! = 107 380 000 000 000 000 000 > don” 
为 表示 任 一 特定 置换 所 需 的 二 元 数字 位 数 为 
log, (2”!) = (n—1.44)2" = 0(n2")b (4-23) 
即 密 钥 长 度 达 n2”"b，n=64 AULA 64x 2% =2"%b, DES 的 密 钥 仅 为 56b，IDEA 的 
密 钥 也 不 过 为 128b。 实 用 中 的 各 种 分 组 密码 (如 后 面 要 介绍 的 DES、IDEA、RSA 和 背 
包 体制 等 ) 所 用 的 置换 都 不 过 是 上 述 置换 集中 的 一 个 很 小 的 子 集 。 分 组 密码 的 设计 问题 
在 于 找到 一 种 算法 ， 能 在 密 钥 控制 下 从 一 个 足够 大 且 足 够 好 的 置换 子 集中 ， 简 单 而 迅速 
地 选 出 一 个 置换 ， 用 来 对 当前 输入 的 明文 的 数字 组 进行 加 密 变 换 。 因 此 ， 设 计 的 算法 应 
满足 下 述 要求 : 
(1) JAKE n 要 足够 大 ， 使 分 组 代 换 字母 表 中 的 元 素 个 数 2" 足够 大 ， 防 止 明 文 穷 
举 攻击 法 奏效 。DES、IDEA、FEAL 和 LOKI 等 分 组 密码 都 采用 n=64， 在 生日 攻击 下 用 
2” 组 密 文成 功 概率 为 12， 同 时 要 求 2” x64b =25MB 存储 空间 ， 故 采用 穷 举 攻击 是 不 
现实 的 。 
(2) 密 钥 量 要 足够 大 ( 即 置 换 子 集 中 的 元 素 足 够 多 )， 尽 可 能 消除 弱 密 钥 并 使 所 有 密 
钥 同 等 ， 以 防止 密 钥 穷 举 攻击 奏效 。 但 密 钥 又 不 能 过 长 ， 以 利于 密 钥 的 管理 。DES 采用 
56b 密 钥 ， 看 来 太 短 了 ，IDEA 采用 128b 密 钥 ，Denning 等 估计 ， 在 今后 30~40 年 内 采 
用 80b 密 钥 是 足够 安全 的 。 
G) 由 密 钥 确定 置换 的 算法 要 足够 复杂 ， 充 分 实现 明文 与 密 钥 的 扩散 和 混淆 ， 没 有 
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简单 的 关系 可 循 ， 要 能 抗击 各 种 已 知 的 攻击 ， 如 差分 攻击 和 线性 攻击 等 ， 有 高 的 非 线 性 
阶 数 ， 实 现 复杂 的 密码 变换 ， 使 对 手 在 破译 时 除了 用 穷 举 法 外 ， 无 其 他 捷径 可 循 。 

应 当 指 出 ， 上 述 有 关 安 全 性 条 件 都 是 必要 条 件 ， 是 设计 分 组 密码 时 应 当 充 分 考虑 的 
一 些 问 题 ， 但 绝 不 是 安全 性 的 充分 条 件 。 

(4) 加 密 和 解密 运算 简单 ， 易 于 软件 和 硬件 高 速 实现 。 如 将 分 组 n 划分 为 子 段 ， 每 
BURA 8, 16 或 者 32。 在 以 软件 实现 时 ， 应 选用 简单 的 运算 ， 使 作用 于 子 段 上 的 密码 运 
算 易 于 以 标准 处 理 器 的 基本 运算 ， 如 加 、 乘 、 移 位 等 实现 ， 避 免 用 以 软件 难以 实现 的 逐 
位 置换 。 为 了 便于 硬件 实现 ， 加 密 和 解密 过 程 之 间 的 差别 应 仅 在 于 由 秘密 密 钥 所 生成 的 
密 钥 表 不 同 。 这 样 ， 加 密 和 解密 就 可 用 同一 器 件 实现 。 设 计 的 算法 采用 规则 的 模块 结构 ， 
如 多 轮 和 欠 代 等 ， 以 便于 采用 软件 和 VLSI 快速 实现 。 

(5) 数据 扩展 。 一 般 无 数据 扩展 ， 在 采用 同 态 置换 和 随机 化 加 密 技术 时 可 引入 数据 
扩展 。 

(6) 差错 传播 尽 可 能 得 小 。 

要 实现 上 述 几 点 要 求 并 不 容易 。 首 先 ， 图 4-11 的 代 换 网 络 的 复杂 性 随 分 组 长 度 n E 
指数 增 大 ， 常 常会 使 设计 变 得 复杂 而 难以 控制 和 实现 ， 实 际 中 常常 将 n 分 成 几 个 小 段 ， 
分 别 设计 各 段 的 代 换 逻辑 实现 电路 ， 采 用 并 行 操作 达到 总 的 分 组 长 度 n 足够 大 ， 这 将 在 
下 面 讨 论 。 其 次 ， 为 了 便于 实现 ， 实 际 中 常常 将 较 简 单 易于 实现 的 密码 系统 进行 组 合 ， 
构成 较 复杂 的 、 密 钥 量 较 大 的 密码 系统 。Shannon[1949] 曾 提出 了 以 下 两 种 可 能 的 组 合 
方法 。 

(1)“ 概 率 加 权 和 ”方法 ， 即 以 一 定 的 概率 随机 地 从 几 个 子 系统 中 选择 一 个 用 于 加 密 
当前 的 明文 。 设 有 + 个 子 系统 ， 以 T,,…, 工 表示， 相应 被 选用 的 概率 为 p,p,,…,p,， 


其 中 这 p=1。 其 概率 和 系统 可 表示 成 


P= pil, + pT, ++ pL, (4-24) 
显然 ， 系 统 了 的 密 钥 量 将 是 各 子 系统 密 钥 量 之 和 。 

(2) “乘积 ”方法 。 例 如, 设 有 两 个 子 密码 系统 T A Tr, MAA Ti 对 明文 进行 加 密 ， 
然后 再 以 T 对 所 得 结果 进行 加 密 。 其 中 ，TT 的 密 文 空间 需 作为 To 的 “明文 ”空间 。 乘 
积 密码 可 表示 成 

T-T; (4-25) 
利用 这 两 种 方法 可 将 简单 易于 实现 的 密码 组 合成 复杂 的 更 为 安全 的 密码 。 

最 后 ， 为 了 抗击 统计 分 析 破译 法 ， 需 要 实现 第 3 条 要 求 ，Shannon 曾 建 议 采 用 扩散 
(diffusion) 和 混淆 (confusion) 法 。 所 谓 扩 散 ， 就 是 将 每 位 明文 及 密 钥 数字 的 影响 尽 可 
能 迅速 地 散布 到 较 多 个 输出 的 密 文 数字 中 ， 以 便 隐 蔽 明文 数字 的 统计 特性 。 这 一 想法 可 
推广 到 将 任 一 位 密 钥 数字 的 影响 尽量 迅速 地 扩展 到 更 多 个 密 文 数字 中 去 ， 以 防止 对 密 钥 
进行 逐 段 破译 。 在 理想 情况 下 ， 明 文 的 每 位 和 密 钥 的 每 位 应 影响 密 文 的 每 位 ， 即 实现 所 
谓 “完备 性 ”。Shannon 提出 的 “混淆 ”概念 目的 在 于 使 作用 于 明文 的 密 钥 和 密 文 之 间 的 
关系 复杂 化 ， 使 明文 和 密 文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 性 极 小 化 ， 从 而 使 统计 分 
析 攻 击 法 不 能 奏效 。 他 用 “ 揉 面团 ”过 程 来 形象 地 比喻 “扩散 ”和 “混淆 ”概念 。 在 设 
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计 实 际 密码 算法 时 ， 需 要 巧妙 地 运用 这 两 个 概念 。 与 揉 面团 不 同 , 将 明文 和 密 钥 进行 “ 混 
合 ”作用 时 还 需 满足 两 个 条 件 : 一 是 变换 必须 是 可 逆 的 ， 并 非 任何 混淆 办 法 都 能 做 到 这 
点 ; 二 是 变换 和 反 变 换 过 程 应 当 简 单 易 行 。 乘 积 密码 有 助 于 实现 扩散 和 混淆 ， 选 择 某 个 
较 简 单 的 密码 变换 ， 在 密 钥 控 制 下 以 迭代 方式 多 次 利用 它 进行 加 密 变 换 ， 就 可 实现 预期 
的 扩散 和 混淆 效果 。 当 代 提 出 的 各 种 分 组 密码 算法 ， 都 在 一 定 程度 上 体现 了 Shannon 构 
造 密 码 的 这 些 重要 思想 。 


46 数据 加 密 标 准 


数据 加 密 标准 (DES) 中 的 算法 是 第 一 个 并 且 也 是 十 分 重要 的 现代 对 称 加 密 算法 。 
1977 年 1 月 ,美国 国 家 标准 局 公布 了 DES， 它 是 用 于 非 保 密 数据 (与 国家 安全 无 关 的 信 
息 ) 的 算法 ， 该 算法 在 世界 范围 内 已 经 得 到 了 广泛 的 应 用 ， 一 个 主要 的 例子 就 是 银行 用 
它 保护 资金 转账 安全 。 本 来 该 标准 被 批准 使 用 5 年 ， 但 由 于 它 经 受 住 了 时 间 的 考验 ， 随 
后 又 批准 了 3 个 5 年 的 使 用 期 。 


4.6.1 DES 介绍 


DES 是 分 组 密码 ， 其 中 的 消息 被 分 成 定 长 的 数据 分 组 ， 每 一 分 组 称 为 M 或 C 中 的 
一 个 消息 。 在 DES 中 ， 有 M =C={0.014， 天 ={0.135， 也 就 是 DES 加密 和 解密 算法 输 
入 64b 明文 或 密 文 消息 和 56b 密 钥 ， 输 出 64b 密 文 或 明文 消息 。 
DES 的 运算 可 描述 为 如 下 3 步 : 
(1) 对 输入 分 组 进行 固定 的 “初始 置换 ”IP， 可 以 将 这 个 初始 置换 写 为 
(L, R,) < IP (Input Block) (4-26) 
这 里 IL 和 RR, 称 为 “( 左 ， 右 ) 半分 组 ” 都 是 32b 的 分 组 。 注 意 ， 卫 是 固定 的 函数 
(也 就 是 说 ， 输 入 密 钥 不 是 它 的 参数 )， 是 公开 的 ， 因 此 这 个 初始 置换 在 密码 学 上 意义 
不 大 。 
(2) 将 下 面 的 运算 迭代 16 轮 (i=1,2,…,16) 
L < Ra (4-27) 
R, <+ L, ® f(Rk,) (4-28) 
XE k 称 为 “ 轮 密 钥 ” 它 是 56b 输入 密 钥 的 一 个 48b TFR, [RA “SARR” (“S” 
表示 代 换 ， 将 在 4.6.2 节 中 对 这 个 函数 进行 简单 描述 )， 是 一 个 代 换 密码 。 这 个 运算 的 特 
点 是 交换 两 半分 组 ， 就 是 说 ， 一 轮 的 左 半分 组 输入 是 上 一 轮 的 右 半 分 组 输出 。 交 换 运算 
是 一 个 简单 的 换 位 密码 〈 见 4.2.2 节 )， 目 的 是 获得 很 大 程度 的 “信息 扩散 ” 本质 上 就 是 
获得 式 (4-26) 中 香农 提出 的 模型 的 混合 特性 。 从 我 们 的 讨论 中 可 以 看 出 ，DES 的 这 一 
步 是 代 换 密码 和 换 位 密码 的 结合 。 
(3) 将 16 轮 迭 代 后 得 到 的 结果 (Le Re) 输入 到 IP 的 逆 置 换 来 消除 初始 置换 的 影响 ， 
这 一 步 的 输出 就 是 DES 算法 的 输出 ， 我 们 将 最 后 一 步 写 为 
Output Block < IP™ (Rs, L6) (4-29) 
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请 特别 注意 下 ”的 输入 : 在 输入 全" 以 前 ，16 轮 迭 代 输 出 的 两 个 半分 组 又 进行 了 一 
次 交换 。 

加 密 和 解密 算法 都 用 这 3 个 步 又， 仅 有 的 不 同 就 是 ， 如 果 加 密 算法 中 使 用 的 轮 密 钥 
是 五, 丘 …, 大 6， 那么 解密 算法 中 使 用 的 轮 密 钥 就 应 当 是 石 。, 厂 ;,……:, 石 ， 这 种 排列 轮 密 钥 的 
方法 称 为 “ 密 钥 表 ”， 可 以 记 为 

(Hb he)= (ke, hs k) (4-30) 

例 4-4 在 加 密 密 钥 下 ， 将 明文 消息 m 加 密 为 密 文 消息 ce， 下 面 通过 DES 算法 来 
确认 解密 函数 的 正确 运行 ， 也 就 是 在 上 下 ，e 的 解密 将 输出 m 

解密 算法 首先 输入 密 文 c 作为 “输入 分 组 ”。 由 式 (4-26) 有 

(Lo Ro) P(c) 
但 是 ， 因 为 c 实际 上 是 加 密 算法 中 最 后 一 步 的 “输出 分 组 ” B (4-29) 有 
(Lo Ro) — (Ris Lis) (4-31) 
在 第 1 轮 中 ， 由 式 (4-27), R (4-28) FIR (4-30), A 
LR, =Le 
Ri < L, ® f (Rok) = Rs ® f Loh) 

在 这 两 个 式 子 的 右边 ， 由 式 〈4-27) WH, Le ZH R, IRE; 由 式 (4-28) 可知 ， 
R MZH Ls ® f(R,.k,g) RG. MBAR (4-30), ksk ， 因 此 ， 上 面 两 个 式 子 
实际 上 是 下 面 的 两 个 : 

五 二 Rs 
Ri < [Ls BD f (Ris-ki)]® f (Risks) =Ls 
所 以 ， 在 第 1 轮 解密 以 后 得 到 
(Li Ri) (Ris, Ls) 
因此 ， 在 第 2 轮 开始 ， 两 个 半分 组 是 (RL;)。 
在 随后 的 15 轮 中 ， 使 用 同样 的 验证 ， 将 获得 
(L R,) © (Rig Dasa), (De, Rie) —(Ro-Lo) 

从 16 轮 和 迭代 得 到 的 两 个 最 后 的 半分 组 (Cs,Ris) 被 交换 为 (Res,Ds)=(Zo,Ro)， 然 后 输 
AFJP? (注意 式 (4-29) 中 另外 一 次 的 交换 ) 来 消除 IP 在 式 (4-20) 中 的 影响 。 解 密 
函数 的 输出 确实 就 是 最 初 的 明文 分 组 m。 

已 经 证 明 : DES 加 密 和 解密 算法 确实 使 得 方程 式 (4-26) 对 于 所 有 的 me M 和 keK 
都 成 立 。 很 明显 ， 这 些 算法 的 运行 与 “S RRR” HA 
部 细节 及 密 钥 表 函数 无 关 。 

使 用 式 (4-27) FIR (4-28) 以 交换 的 方式 处 理 两 
个 半分 组 的 DES 迭代 称 为 Feistel 密码 。 图 4-12 给 出 了 
一 轮 Feistel 密码 的 交换 结构 。 最 初 是 由 Feistel 提出 了 
这 个 密码 。 像 以 前 提 到 的 那样 , 交换 特性 的 目的 是 为 了 

获得 一 个 较 大 程度 上 的 数据 扩散 。Feistel 密码 在 公 钥 密 
图 4-12 Feistel 密码 (一 轮 ) 码 学 中 也 有 重要 的 应 用 : 称 为 最 佳 非 对 称 加 密 填充 
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(OAEP)。 其 在 结构 本 质 上 是 一 个 二 轮 的 Feistel 密码 。 


46.2 DES 的 核心 作用 : 消息 的 随机 非 线 性 分 布 


DES 的 核心 部 分 是 在 “S 盒 函 数 ” 中 。 正 是 在 这 里 DES 实现 了 明文 消息 在 密 文 消 
息 空 间 上 的 随机 非 线性 分 布 。 

TER i, Rak) 做 下 面 的 两 个 子 运算 : 

(1) 通过 逐 比特 异 或 运算 ， 将 轮 密 钥 , 与 半分 组 R,， 相 加 。 这 提供 了 消息 分 布 中 所 
需要 的 随机 性 。 

(2) 在 包含 8 个 “ 代 换 盒 ”(S 盒 ) 的 固定 置换 下 代 换 O 的 结果 ， 每 一 个 S BE 
一 个 非 线 性 置换 函数 ， 这 就 提供 了 消息 分 布 中 所 需 的 非 线 性 。 

S 盒 的 非 线性 对 DES 的 安全 是 非常 重要 的 ， 注 意 到 代 换 密码 (例如 ， 有 随机 密 钥 的 
例 4-1) 在 一 般 情况 下 是 非 线性 的 ， 而 移 位 密码 和 仿 射 密码 是 线性 中 的 子 类 。 与 一 般 情 
况 相 比 ， 这 些 线性 子 类 不 仅 极 大 地 减 小 了 密 钥 空间 ， 而 且 也 导致 了 生成 的 密 文 对 于 差分 
分 析 (DC) 技术 是 脆弱 的 [Biham 等 1991] 。DC 通过 利用 两 个 明文 消息 间 的 线性 差分 和 
两 个 密 文 消息 间 的 线性 差分 来 攻击 密码 ， 下 面 以 仿 射 密码 式 (4-6〉 为 例 分 析 这 种 攻击 。 
假定 Malice〈 攻 击 者 〉 以 某 种 方式 知道 了 差分 m 一 m' ， 但 他 既 不 知道 m 也 不 知道 mm ， 
HA ERIRE c= kım +k, (mod N),c' =kym' +k,(mod N), Malice 可 以 计算 

k, = (c —c")/(m —-m')\(mod N) 

AT k» Malice H— PREI k, 就 变 得 容易 多 了 ， 例 如 ， 如 果 Malice 有 一 个 已 知 的 明 
文 - 密 文 对 ， 他 就 能 够 找到 k, 。 在 1990 ERIT DC 以 后 ， 对 于 许多 已 知 的 分 组 密码 的 
Bu, DC 已 经 被 证 明 是 非常 有 效 的 ， 然 而 它 攻击 DES 并 不 是 非常 成 功 。 这 就 表明 DES 
的 设计 者 早 在 15 年 前 通过 s 盒 的 非 线性 设计 就 已 采取 了 预防 DC 的 措施 。 

DES (事实 上 还 有 Feistel 密码 ) 的 一 个 有 趣 的 特点 就 是 函数 (Rk) 中 的 S BAY 
是 可 逆 的 。 在 例 4-4 中 对 于 任意 的 f(R,,) 都 可 运行 加 密 和 解密 就 证 明了 这 一 点 ， 这 个 
特点 节约 了 DES 硬件 实现 的 空间 。 

本 书 将 省 略 对 S 盒 的 内 部 细节 、 密 钥 表 函数 和 初始 置换 函数 的 描述 ， 这 些 细节 超出 
了 本 书 的 范围 ， 有 兴趣 的 读者 可 在 文献 [Denning 1982] 中 找到 这 些 细节 。 


46.3 DES 的 安全 性 


在 DES 作为 加 密 标准 提出 之 后 不 久 ， 学 者 们 就 开始 争论 DES 的 安全 性 。 其 详细 的 
讨论 和 历史 描述 可 以 在 各 种 密码 学 教科 书 中 找到 ， 如 文献 [Smid 等 1992]、[Stinson 1995] 
和 [Menezes 等 1997]. 后 来 , 人 们 越 来 越 清 楚 , 这 些 讨论 找 到 了 DES 的 一 个 主要 的 缺点 : 
DES 的 密 钥 长 度 较 短 。 这 被 认为 是 DES 仅 有 的 最 严重 的 弱点 , 针对 这 个 弱点 的 攻击 包括 
穷 举 测试 密 钥 ， 就 是 利用 一 个 已 知 的 明文 和 密 文 消息 对 ， 直 到 找到 正确 的 密 钥 ， 这 就 是 
所 谓 的 强力 或 穷 举 密 钥 搜索 攻击 。 

然而 ， 不 能 将 强力 密 钥 搜索 攻击 看 做 是 一 种 真正 的 攻击 ， 这 是 因为 密码 设计 者 不 仅 
已 经 预见 了 它 ， 而 且 希 望 这 是 对 手 仅 有 的 工具 ， 因 此 ， 假 设 攻击 者 仅 具 有 20 世纪 70 年 
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代 的 计算 技术 ， 那 么 DES 是 一 种 十 分 成 功 的 密码 。 
克服 短 密 钥 缺 陷 的 一 个 解决 办 法 是 使 用 不 同 的 密 钥 ， 多 次 运行 DES 算法 ,那样 的 一 
个 方案 称 为 加 密 -解密 -加 密 3 Æ DES 方案 [Tuchman 1979]。 这 个 方案 中 的 加 密 记 为 
c & E, (Dy, (Es (m))) 
解密 记 为 
m < D, (E, (Ds (©) 
除了 能 够 达到 扩大 密 钥 空 间 的 效果 , WREN k =k, ,这 个 方案 也 很 容易 与 单 钥 DES 
兼容 。3 E DES 也 可 以 使 用 3 个 不 同 的 密 钥 ， 但 这 时 它 与 单 钥 DES 不 兼容 。 
DES 的 短 密 钥 弱 点 在 20 世纪 90 年 代 变 得 明显 了 。 在 1993 年 ，Wiener 认为 花费 
1 000 000 美 元 可 以 造 一 个 特殊 用 途 的 VLSI DES 密 钥 搜 索 机 ,给 定 一 个 明文 - 密 文 消息 对 ， 
预计 这 台 机 器 将 在 3.5h 之 内 找到 密 钥 。1998 年 7 月 15 日 ， 密 码 学 研究 会 、 高 级 无 线 技 
术 协 会 和 电子 前 沿 基金 会 (Electronic Frontier Foundation, EFF) 联合 宣布 了 破 纪录 的 
DES 密 钥 搜索 攻击 : 他 们 花 了 不 到 250 000 美元 构造 了 一 个 称 为 DES 解密 高 手 〈 也 称 做 
Deep Crack) 的 密 钥 搜 索 机 ， 搜 索 了 56 h 后 成 功 地 找到 了 RSA 的 DES 挑战 密 钥 。 这 个 
结果 表明 : 对 于 一 个 安全 的 单 钥 密码 来 说 ， 在 20 世纪 90 年 代 后 期 的 计算 技术 背景 下 ， 
使 用 56b 的 密 钥 太 短 了 。 


47 ”高 级 加 密 标准 


1997 年 1 月 2 日 , 美国 国家 标准 和 技术 协会 (NIST) 宣布 征集 一 个 新 的 对 称 密 钥 分 
组 密码 算法 作为 取代 DES 的 新 的 加 密 标 准 , 这 个 新 的 算法 被 命名 为 高 级 加 密 标准 (AES)。 
与 DES 的 封闭 设计 过 程 不 同 ， 在 1997 年 9 月 12 日 ， 正 式 地 公开 征集 AES 算法 ， 规 定 
了 AES 要 详细 说 明 一 个 非 保密 的 、 公 开 的 对 称 密 钥 加 密 算法 (Cs); 算法 (s) 必须 支持 
(至 少 ) 128b 的 分 组 长 度 ， 以 及 128b、192b 和 256b 的 密 钥 长 度 ， 强 度 应 该 相当 于 3 E 
DES， 但 是 应 该 比 3 重 DES 更 有 效 。 此 外 ， 如 果 算 法 (s) 被 选中 ， 在 世界 范围 内 它 必 
须 是 可 以 免费 获得 的 。 

1998 4 8 H 20 H, NIST 公布 了 15 Ô AES 候选 算法 ， 这 些 算法 由 遍布 世界 的 密码 
团体 的 成 员 提交 。 公众 对 这 15 个 算法 的 评论 被 当 作 这 些 算法 的 初始 评论 (公众 的 初始 评 
论 期 也 称 为 第 1 轮 )， 第 1 轮 评选 到 1999 年 4 月 15 日 截止 。 根据 收 到 的 分 析 和 评论 ， 
NIST 从 15 个 算法 中 选 出 5 个 算法 ， 这 5 个 参加 决赛 的 候选 算法 是 MARS[Burwick 等 
1998], RC6[Sidney 等 1998]、Rijindael[Daemen 等 1998]、Serpent[Anderson 等 1998] 和 
Twofish[Schneier 等 1998]。 这 些 参加 决赛 的 算法 在 又 一 次 更 深入 的 评论 期 (第 2 轮 ) 得 
到 进一步 的 分 析 。 在 第 2 轮 中 ， 要 征询 对 候选 算法 的 各 方面 的 评论 和 分 析 ， 这 些 方 面包 
括 密码 分 析 、 智 能 性 、 所 有 AES 决赛 候选 算法 的 剖析 、 综 合 评价 及 有 关 实 现 问题 ， 但 并 
不 限于 上 面 所 述 的 方面 。2000 年 5 月 15 日 ， 第 2 轮 公众 分 析 期 结束 以 后 ，NIST 研究 了 
所 有 可 得 到 的 信息 以 便 为 AES 做 出 选择 。2000 年 10 月 2 H, NIST 宣布 它 已 经 选中 了 
Rijndael 来 建议 作为 AES。 
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Rijndael 是 由 两 个 比利时 密码 学 家 Daemen 和 Rijmen 共同 设计 的 。 
4.7.1 Rijndael 密码 概述 


Rijndael 是 分 组 长 度 和 密 钥 长 度 均 可 变 的 分 组 密码 ， 密 钥 长 度 和 分 组 长 度 可 以 独立 
指定 为 128b、192b 或 256b。 为 简化 起 见 ， 只 讨论 密 钥 长 度 为 128b， 分 组 长 度 为 128b 
时 的 情形 。 所 限定 的 描述 无 损 于 Rijndael 密码 工作 原理 的 一 般 性 。 

在 这 种 情况 下 ，128b 的 消息 (明文 ， 密 文 ) 分 组 被 分 成 16 个 字 节 (一 个 字 节 是 8b, 
所 以 有 128=16X8 )， 记 为 

InputBlock = m), m,» +, ms 

密 钥 分 组 如 下 : 

InputKey = kg» kitt hs 

内 部 数据 结构 的 表示 是 一 个 4X4 和 矩阵 : 


m mm mi mM): 


InputBlock = ie 
m 


ko k, ky ka 
k, ks ky k 
InputKey = i a ig ba 
k, ke ko ka 
k 万 ky ks 


同 DES〈 以 及 最 现代 的 对 称 密 钥 分 组 密码 ) 一样 ，Rijndael 算法 也 是 由 基本 的 变换 
单位 一 一 “ 轮 ” 多 次 迭代 而 成 ， 在 消息 分 组 长 度 和 密 钥 分 组 均 为 128b 的 最 小 情况 ， 轮 数 
是 10， 当 消息 长 度 和 密 钥 长 度 变 大 时 ， 轮 数 也 应 该 相应 增加 。 有 关内 容 请 参阅 [NIST 
2001a]。 

Rijndael 中 的 轮 变换 记 为 


Round (State, RoundKey) 


这 里 State 是 轮 消息 矩阵 ， 既 被 看 做 输入 ,也 被 看 做 输出 ; RoundKey 是 轮 密 钥 矩 阵 ， 
它 是 由 输入 密 钥 通 过 密 钥 表 导出 的 。 一 轮 的 完成 将 导致 State 的 元 素 改变 值 ( 也 就 是 改变 
它 的 状态 )。 对 于 加 密 〈 对 应 解密 )， 输 入 到 第 1 轮 中 的 State 就 是 明文 (对 应 密 文 ) 消息 
矩阵 InputBlock， 而 最 后 一 轮 中 输出 的 State 就 是 密 文 〈 对 应 明文 ) 消息 矩阵 。 
轮 (除了 最 后 一 轮 ) 变换 由 4 个 不 同 的 变换 组 成 ， 这 些 变换 是 将 要 介绍 的 内 部 函数 : 
Round (State, RoundKey) { 
SubBytes (State) ; 
ShiftRows (State) ; 
MixColumns (State) ; 


AddRoundKey (State, RoundKey) ; 
} 
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最 后 一 轮 有 点 不 同 ， 记 为 
FinalRound (State, RoundKey) 


它 等 于 不 使 用 Mixcolumns 函数 的 Round(State，RoundKey)， 这 类 似 于 DES 中 最 后 
一 轮 的 情形 ， 就 是 在 输出 的 半数 据 分 组 之 间 再 做 一 次 交换 。 
轮 变 换 是 可 逆 的 ， 以 便于 解密 ， 相 应 的 逆 轮 变换 分 别 记 为 


Round (State, RoundKey) 


FinalRound?+ (State, RoundKey) 
下 面 可 看 到 4 个 内 部 函数 都 是 可 逆 的 。 
4.7.2 Rijndael 密码 的 内 部 函数 


现在 介绍 Rijndael 密码 的 4 个 内 部 函数 ， 因 为 每 个 内 部 函数 都 是 可 逆 的 ， 为 了 实现 
Rijndael 的 解密 ， 只 需要 在 相反 的 方向 使 用 它们 各 自 的 逆 就 可 以 了 ， 因 此 仅 在 加 密 方向 

Rijndael 密码 的 内 部 函数 是 在 有 限 域 上 实现 的 ，F, 上 的 所 有 多 项 式 模 不 可 约 多 项 式 

J= t t tl 

就 得 到 了 这 个 域 。 明 确 地 说 ，Rijndael 密码 所 用 的 域 是 已 [x] 。,，。，，, ， 这 个 域 中 的 元 素 
MÆ F, ERUF 8 的 多 项 式 ， 运 算是 模 f(x) 运算 ， 把 这 个 域 称 为 “Rijndael 域 "。 由 
于 同 构 关系 ， 经 常用 已 ,来 表示 这 个 域 ， 这 个 域 中 有 2 (256) 个 元 素 。 

在 Rijndael 密码 中 ， 一 个 消息 分 组 (一 个 状态 ) 和 一 个 密 钥 分 组 被 分 成 字 节 。 这 些 
字 节 可 以 看 成 是 域 元 素 并 由 将 要 描述 的 几 个 Rijndael 内 部 函数 所 使 用 。 


1. 内 部 函数 SubBytes (State) 
这 个 函数 为 State 的 每 一 字 节 (也 就 是 x) 提供 了 一 个 非 线性 代 换 ， 任 一 非 0 字 节 
xe (Fy) 被 下 面 的 变换 所 代 换 : 
y=Ax1+b (4-32) 
这 里 


Oooo- -~ 
coorr rr HO 
orrrrroo 
一 ee 
~~oOooor- 
~~oOooo-r- 
一 口 口 口 一 一 一 
.ooorrrm 
口上 卫 一口 口 口 一 一 
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如 果 x 是 0 字 节 ， 那 么 y=6b 就 是 SubBytes 变换 的 结果 。 

注意 在 式 (4-32) 中 变换 的 非 线性 仅仅 来 自 于 逆 x  ， 如 果 这 个 变换 直接 作用 于 x， 
MAER (4-32) 中 的 仿 射 方程 将 绝对 是 线性 的 。 

因为 8X8 常 数 矩 阵 4 是 可 逆 的 (也 就 是 说 , 它 的 行 在 五, 中 是 线性 无 关 的 )， 所 以 在 
式 (4-32) 中 的 变换 是 可 逆 的 ， 因 此 函数 SubBytes (State) 是 可 逆 的 。 


2. 内 部 函数 ShiftRows (State) 
这 个 函数 在 State 的 每 行 上 运算 ， 对 于 128b 分 组 长 度 的 情形 ， 它 的 变换 如 下 : 
Soo So. Soo Sos Soo So. Soo So3 
Sio Sii Siz E > A 1,2 Sis Sig | ( 4-33) 
Szo Sa S32 S33 S$,» S33 Szo Sy) 
S, S. S. S35 S33 S30 Sy, S32 


这 个 运算 实际 上 是 一 个 换 位 密码 ， 它 只 是 重 排 了 元 素 的 位 置 而 不 改变 元 素 本 身 : 对 
于 在 第 让 = 0,12.3) 行 的 元 素 ， 位 置 重 排 就 是 “循环 向 右 移动 ”4 二 个 位 置 。 
既然 换 位 密码 仅仅 重 排行 元 素 的 位 置 ， 那 么 这 个 变换 当然 是 可 逆 的 。 


3. 内 部 函数 MixColumns (State) 

这 个 函数 在 State 的 每 列 上 作用 ， 所 以 对 于 式 〈4-33) 中 右边 矩阵 的 4 列 State, 
MixColumns(Stateyi&{t 4 次 。 下 面 只 描述 对 一 列 的 作用 ， 一 次 欠 代 的 输出 仍 是 一 列 。 

首先 ， 令 


是 式 〈4-33) 中 右边 矩阵 中 的 一 列 。 注 意 ， 为 了 表述 清楚 ， 已 经 省 略 了 列 数 。 

把 这 一 列表 示 为 3 次 多 项 式 : 

S(x) =5,x° + sx +5,x+5, 

注意 到 因为 s(x) 的 系数 是 字 节 , 也 就 是 F, 中 的 元 素 , 所 以 这 个 多 项 式 是 在 ,上 的 ， 
因此 不 是 Rijndael 中 的 元 素 。 

列 s(x) 上 的 运算 定义 为 将 这 个 多 项 式 乘 以 一 个 固定 的 3 次 多 项 式 c(x) ， 然 后 模 
x41: 

c(x)-s(x)(modx* +1) (4-34) 
这 里 固定 的 多 项 式 c(x) 是 
e(x) =c tex +o,x +c, ='03'x* +'01'x? +'01'x+'02' 

c(x) WRB Fe 中 的 元 素 〈 以 十 六 进 制 表 示 字 节 或 域 元 素 )。 

注意 到 式 (4-34) 中 的 乘法 不 是 Rijndael 域 中 的 运算 : c(x) Al s(x) 甚至 不 是 Rijndael 
域 中 的 元 素 。 而 且 因为 二 +1 在 瓦 上 可 约 (x +1=(x4+)*), ER (4-34) 中 的 乘法 甚至 
不 是 任何 域 中 的 运算 。 进 行 乘法 模 一 个 4 次 多 项 式 的 仅 有 的 理由 就 是 为 了 使 运算 输出 一 
个 3 次 多 项 式 ， 也 就 是 说 ， 为 了 获得 一 个 从 一 列 (3 次 多 项 式 ) 到 另 一 列 (3 次 多 项 式 ) 
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的 变换 ， 这 个 变换 可 以 看 做 是 使 用 已 知 密 钥 的 一 个 多 表 代 换 〈 乘 积 ) 密码 。 
可 使 用 长 除法 来 验证 下 面 在 Ff 上 计算 的 方程 (注意 到 在 这 个 环 中 减法 与 加 法 等 同 ): 
x! (modx* +1) =x'™** 
因此 , ÆR (4-34) 的 乘积 中 ，x (i=0,1,2,3) 的 系数 一 定 是 满足 j+k=imod4 的 cjs 
的 和 (这 里 j,k=0,1,2,3 )， 例 如 ， 在 乘积 中 x? 的 系数 是 
CS + CS, + CoS, FGS 
因为 乘法 和 加 法 都 在 书 , 中 ， 所 以 很 容易 验证 式 (4-34) 中 的 多 项 式 乘法 可 由 下 面 的 
线性 代数 式 给 出 


dy) fc ee  &)(S)) oz '03' tor ‘O1'\/s, 
alla ce alis | {tor 02" 103" oris 
1 = 1 0 3 2 1 = 1 (4-35) 
d,| |e, ec, ce, cells,| or tor '0 to |i s, 
d) le co a es) Vos 'or or ‘02')\s, 


HPAI, AAEREWHEMHKREKN, MUO Fa] H 
c(x) modx +1) EFEK. AE FERE (4-35) 中 的 变换 是 可 逆 的 。 


4. 内 部 函数 AddRoundKey (State，RoundKey) 

这 个 函数 仅仅 是 逐 字 节 、 逐 比特 地 将 RoundKey 中 的 元 素 与 State 中 的 元 素 相 加 ， 这 
里 的 “加 ”是 瓦 中 的 加 法 〈 也 就 是 逐 比 特异 或 )， 是 平凡 可 逆 的 ， 逆 就 是 自身 相 “ 加 ”% 

RoundKey 比特 已 经 被 列表 ， 也 就 是 说 ， 不 同 轮 的 密 钥 比 特 是 不 同 的 ， 它 们 由 使 用 
一 个 固定 的 ( 非 秘密 的 )“ 密 钥 表 ”方案 的 密 钥 导出 ， 有关 “ 密 钥 ” 表 的 细节 请 参阅 [NIST 
2001a，2001b]。 

到 此 为 止 ， 已 经 完成 了 Rijndael 内 部 函数 的 描述 ， 因 此 也 完成 了 加 密 运算 的 描述 。 


5. 解密 运算 

综 上 所 述 ，4 个 内 部 函数 都 是 可 逆 的 ， 因 此 解密 仅仅 是 在 相反 的 方向 反 演 加 密 ， 也 
就 是 说 ， 运 行 

AddRoundKey (State, RoundKey) oa 

MixColumns (State) +; 

ShiftRows (State) +; 

SubBytes (State) `}; 


应 当 注 意 , 它 与 Feistel 密码 不 同 : Feistel 密码 的 加 密 和 解密 可 以 使 用 同样 的 电路 ( 硬 

件 ) 和 代码 (软件 )， 而 Rijndael 密码 的 加 密 和 解密 必须 分 别 使 用 不 同 的 电路 和 代码 。 
结束 对 Rijndael 密码 描述 之 前 ， 对 4 个 内 部 函数 的 功能 给 出 一 个 小 结 。 
(1) SubBytes 目的 是 为 了 得 到 一 个 非 线 性 的 代 换 密码 。 对 于 分 组 密码 抗 差 分 分 析 来 
非 线 性 是 一 个 重要 的 性 质 。 
(2) ShiftRows 和 MixColumns 目的 是 获得 明文 消息 分 组 在 不 同位 置 上 的 字 节 的 混 
合 。 有 代表 性 的 比如 ， 由 于 在 自然 语言 和 商业 数据 中 包含 的 高 元 余 导致 的 明文 消息 在 消 
BAA MEM CRB, FO ASA Coe EE NE Se a) BUD 

空间 中 ), 而 消息 分 组 中 不 同位 置 上 的 字 节 的 混合 导致 了 消息 在 整个 消息 空间 中 更 广 的 分 


108 


说 ， 


ee 第 4 章 单 ( 私 ) 钥 密码 体制 


布 。 这 本 质 上 就 是 香农 提出 的 混合 特性 。 

(3) AddRoundKey 给 出 了 消息 分 布 所 需 的 秘密 随机 性 。 

这 些 函 数 重 复 多 次 〈 在 128b 密 钥 和 数据 长 度 的 情形 下 ， 至 少 要 重复 10 次 ) 以 后 ， 
就 构成 了 Rijndael 密码 。 


4.7.3 AES 密码 算法 


在 Rijndael 算法 中 ， 分 组 长 度 和 密 钥 长 度 均 能 分 别 被 指定 为 128b、192b 或 256b。 
在 高 级 加 密 标 准 规范 中 ， 密 钥 的 长 度 可 以 使 用 三 者 中 的 任意 一 种 ， 但 分 组 长 度 只 能 是 
128b。 高 级 加 密 标 准 中 众多 参数 与 密 钥 长 度 (SAR 4-3) 有 关 。 在 本 章 中 ， 假 定 密 钥 
的 长 度 为 128b， 这 可 能 是 使 用 最 广泛 的 实现 方式 。 图 4-13 中 是 AES 的 完整 结构 。 


表 4-3 AES 的 参数 


密 铀 长 度 〔word/byte/bit) 8/32/256 
分 组 长 度 Cword/byte/bit) 4/16/128 
nM [oo | e | “u 

每 轮 的 密 钥 长 度 〔word/byte/bit) 4/16/128 
扩展 密 钥 长 度 wordbyte) 60/240 


1. AES 加 密 算法 

加 密 算法 的 输入 分 组 和 解密 算法 的 输出 分 组 均 为 128b。 在 FIPS PUB 197 中 ， 输 入 
分 组 是 用 以 字 节 为 单位 的 正方 形 和 矩阵 描述 的 。 且 该 分 组 被 复制 到 State 数组 , 这 个 数组 在 
加 密 或 解密 的 每 个 阶段 都 会 被 改变 。 在 执行 了 最 后 的 阶段 后 , State 被 复制 到 输出 矩阵 中 。 
这 些 操作 在 图 4-13 (a) 中 描述 。 同 样 ，128b 的 密 钥 也 是 用 以 字 节 为 单位 的 矩阵 描述 的 。 
然后 这 个 密 钥 被 扩展 成 一 个 以 字 为 单位 的 密 钥 序列 数组 ; 每 个 字 由 4 个 字 节 组 成 ，128b 
的 密 钥 最 终 扩展 为 44 个 字 的 序列 (参见 图 4-13 (b))。 注 意 在 矩阵 中 字 节 排 列 顺序 是 从 


outo| outsloutslouti| 


out, | out;/out,jout, , 
outy Outejoutiojout, | 
outs out; lout, out, J 


oy”: ee Wap) W43 


(b) 密 钥 和 扩展 密 钥 
4-13 AES 的 数据 结构 
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上 到 下 、 从 左 到 右 排列 的 。 加 密 算法 中 每 个 128b 分 组 输入 的 前 4 个 字 节 被 按 顺 序 放 在 了 
in 矩阵 的 第 1 列 ， 接 着 的 4 个 字 节 放 在 了 第 2 列 ， 等 等 。 同 样 ， 扩 展 密 钥 的 前 4 个 字 节 
(1 个 字 ) 被 放 在 w 和 矩阵 的 第 1 列 。 


明文 密 钥 明文 
evn |= 一 一 vt0.3] 轮 密 钥 加 
! s 
字 节 代 换 扩展 密 钥 teka] g 
a 
R 一 一 一 一 一 一 一 一 一 一 一 一 一 


列 混 清 求 逆 


Wowk 


行 移 位 求 逆 


列 混 清 求 逆 


HE 


行 移 位 求 逆 


w[40, 43] 一 一 一 一 轮 密 钥 加 


| 
EX 


(a) 加 密 (b) 解密 
4-14 AES 的 加 密 与 解密 


2. AES 解密 算法 

AES 的 解密 算法 和 加 密 算法 不 同 ( 参 见 图 4-14)。 尽 管 在 加 密 和 解密 中 密 钥 扩展 的 
形式 一 样 ， 但 在 解密 中 变换 的 顺序 与 加 密 中 变换 的 顺序 不 同 。 其 缺点 在 于 对 同时 需要 加 
密 和 解密 的 应 用 而 言 ， 需 要 两 个 不 同 的 软件 或 固件 模块 。 然 而 ， 解 密 算 法 的 一 个 等 价 版 
本 与 加 密 算法 有 同样 的 结构 。 这 个 版 本 与 加 密 算 法 的 变换 顺序 相同 用 逆 变 换取 代 正 向 
变换 )。 为 了 达到 这 个 目标 ， 需 要 对 密 钥 扩展 进行 改进 。 
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两 处 改进 使 解密 算法 的 结构 与 加 密 算法 的 结构 一 致 。 在 加 密 过 程 中 ， 其 轮 结构 为 字 
节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 相 加 。 在 标准 的 解密 过 程 中 ， 其 轮 结构 为 逆向 行 移 位 、 
逆向 字 节 代 换 、 轮 密 钥 加 和 逆向 列 混淆 。 因 此 ， 在 解密 轮 中 的 前 两 个 阶段 应 交换 ， 后 两 
个 阶段 也 需要 交换 。 


474 AES 的 密 钥 扩展 


1. 密 钥 扩展 算法 

AES 密 钥 扩展 算法 的 输入 值 是 4 个 字 (16B)， 输 出 值 是 一 个 44 个 字 (176B) 的 一 
维 线性 数组 。 这 足以 为 算法 中 的 初始 Add Round Key 阶段 和 其 他 10 轮 中 的 每 一 轮 提 供 4 
= (word) 的 轮 密 钥 。 下 面 用 伪 代码 描述 了 这 个 扩展 : 


KeyExpansion (byte key[16], word w[44]) 
{ 
word temp 
for (i=0; i<4; i++) w[i]= (key[4*i], key[4*i+1], 
key[4*i+2], 
key [4*i+3]); 
for (i=4; i<44; i++) 
{ 
temp=w[i-1]; 
if (i mod 4=0) temp=SubWord (RotWord (temp) ) 
@®Rcon[i/4]; 
w[i]=w[i-4] ®temp 
} 
} 


输入 密 钥 直接 被 复制 到 扩展 密 钥 数组 的 前 4 个 字 。 
然后 每 次 用 4 个 字 填 充 扩展 密 钥 数组 余下 的 部 分 。 在 
扩展 密 钥 数 组 中 ，w 思 的 值 依赖 于 w[i-1] 和 w[ 六 4]。 在 
4 个 情形 中 ，3 个 使 用 了 异 或 。 对 w 数组 中 下 标 为 4 
的 倍数 元 素 采 用 了 更 复杂 的 函数 来 计算 。 图 4-15 阐明 
了 如 何 计算 扩展 密 钥 数组 的 前 8 个 字 节 ， 其 中 使 用 符 
号 g 来 表示 这 个 复杂 函数 。 函 数 g 由 下 述 的 字 功 能 组 
成 : 
CL) 字 循 环 的 功能 是 使 一 个 字 中 的 4 个 字 节 循环 
左 移 一 个 字 节 。 即将 输入 字 [50, bl, b2, b3] 变 换 成 [bp1， 
b2, b3, BO]. 

(2) 字 节 代 换 利用 S 盒 对 输入 字 中 的 每 个 字 节 进 
行 字 节 代 换 。 图 4-15 AES 密 钥 扩展 

(3) 步骤 1 和 步骤 2 的 结果 再 与 轮 常 量 Recon[/] 相 
异 或 。 
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轮 常量 是 一 个 字 , 这 个 字 最 右边 的 3 个 字 节 总 为 0。 因 此 与 Reon 中 的 一 个 字 相 异 或 ， 
其 结果 只 是 与 该 字 最 左边 的 那个 字 节 相 异 或 。 每 轮 的 轮 常量 均 不 同 ， 其 定义 为 
Reon[ jJ=(RC[ Jj], 0, 0, 0), 其 中 RC[1]=1, RC[ 有 四 =2*RC[j-1] (乘法 是 定义 在 域 GF(28))。 
RC[ 刀 的 值 按 十 六 进 制 表示 为 


Leja foals | ats | 6 | | | | | 


[en] o | o | os| os | io | 20 | ao | so | | | 
例如 ， 假 设 第 8 轮 的 轮 密 钥 为 
EA D2 73 21 BS 8D BA D2 31 2B F5 60 7F 8D 29 2F 


那么 第 9 轮 的 轮 密 钥 的 前 4 个 字 节 (第 1 列 ) 能 按 如 下 的 方式 计算 : 


与 RR a i 
i (十 进 制 )| temp | RotWord 后 | SubWord 后 | Reon(9) ae rs wi-4] aoe 
®w[i-4] 


[C e irsz aosa | spastane [inona | ens15p | canara: Lacres] 


2. 评价 

Rijndael 的 开发 者 设计 了 密 钥 扩展 算法 来 防止 已 有 的 密码 分 析 攻 击 。 使 用 与 轮 相关 
的 轮 常量 是 为 了 防止 不 同 轮 中 产生 的 轮 密 钥 的 对 称 性 或 相似 性 。 文 献 [Deamen 等 1999] 
中 使 用 的 标准 如 下 : 

(1) 知道 密 钥 或 轮 密 钥 的 部 分 位 不 能 计算 出 轮 密 钥 的 其 他 位 。 

(2) 它 是 一 个 可 逆 的 变换 《〈 即 知道 扩展 密 钥 中 任何 连续 的 Nk 个 字 能 够 重新 产生 整 
个 扩展 密 钥 (Nk 是 构成 密 钥 所 需 的 字数 ))。 

(3) 能 够 在 各 种 处 理 器 上 有 效 地 执行 。 

(4) 使 用 轮 常 量 来 排除 对 称 性 。 

(5) 将 密 钥 的 差异 性 扩散 到 轮 密 钥 中 的 能 力 ， 即 密 钥 的 每 位 能 影响 到 轮 密 钥 的 一 
些 位 。 

(6) 足够 的 非 线 性 以 防止 轮 密 钥 的 差异 完全 由 密 钥 的 差异 所 决定 。 

(7) 易于 描述 。 

作者 并 未 量化 上 述 列表 的 第 一 点 ， 但 指出 了 如 果 你 知道 的 密 钥 或 在 某 个 轮 密 钥 中 少 
于 Nk 个 连续 字 ， 那 么 将 难于 构造 出 其 余 的 未 知 位 。 知 道 密 钥 的 位 数量 越 少 就 越 难于 重 
构 出 或 推测 出 密 钥 扩展 中 的 其 他 位 。 


47.5 AES 对 应 用 密码 学 的 积极 影响 


AES 的 引入 又 为 应 用 密码 学 带 来 几 个 积极 的 变化 。 首先， 随 着 AES 的 出 现 , 多 重 加 
密 ， 例 如 3 重 DES， 己 成 为 不 必要 的 了 。 加 长 和 可 变 的 密 钥 及 128b，192b 和 256b 的 数 
据 分 组 长 度 为 各 种 应 用 要 求 提供 了 大 范围 可 选 的 安全 强度 。 由 于 多 重 加 密 多 次 使 用 密 钥 ， 
那么 避免 使 用 多 重 加 密 就 意味 着 实用 中 必须 使 用 的 密 钥 数 目的 减少 ， 因 此 可 以 简化 安全 
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协议 和 系统 的 设计 。 

其 次 ，AES 的 广泛 使 用 将 导致 同样 强度 的 新 的 杂凑 函数 的 出 现 。 在 某 些 情形 下 ， 分 
组 加 密 算法 与 杂凑 函数 密切 相关 〈 见 第 6 章 )， 分 组 加 密 算 法 经 常 被 用 来 作为 单 向 杂凑 函 
数 ， 这 已 经 成 为 一 种 标准 应 用 。UNIX 操作 系统 的 登录 认证 协议 就 是 一 个 著名 的 例子 。 
另外 ， 利 用 分 组 加 密 算法 可 以 实现 单 向 杂凑 函数 。 实 用 中 ， 杂 凑 函 数 也 经 常 被 用 来 为 分 
组 密码 算法 生成 密 钥 的 伪 随 机 数 函数 。 由 于 AES 可 变 、 加 长 的 密 钥 和 数据 分 组 长 度 ， 将 
需要 相同 输出 长 度 的 杂凑 函数 。 然 而 ， 由 于 平方 根 攻 击 〈 生 日 攻击 )， 杂 凌 函 数 的 长 度 应 
该 是 分 组 密码 密 钥 或 数据 分 组 长 度 的 两 倍 ， 因 此 将 需要 与 128b，192b 和 256b 的 AES 长 
度 相 匹配 的 256b, 384b 和 512b 输出 长 度 的 新 的 杂凑 函数 。ISO/TEC 现在 正在 进行 杂凑 
函数 SHA-256，SHA-384 和 SHA-512 的 标准 化 工作 [ISOTEC 2001]. 

正如 DES 标准 吸引 了 许多 试图 攻破 该 算法 的 密码 分 析 家 的 注意 , 并 促进 了 分 组 密码 
分 析 的 认识 水 平 的 发 展 一 样 , 作为 新 的 分 组 密码 标准 的 AES 也 将 再 次 引起 分 组 密码 分 析 
中 的 高 水 平 研究 ， 这 必 将 使 得 人 们 对 该 领域 的 认识 水 平 得 到 进一步 的 提高 。 


48 ”中 国 商 用 分 组 密码 算法 SM4 


2006 年 我 国 国家 密码 管理 局 公布 了 无 线 局 域 网 产品 使 用 的 SM4 (原名 SMS4) 密码 
算法 ， 这 是 我 国 第 一 次 公布 自己 的 商用 密码 算法 。 这 一 举措 标志 着 我 国 商用 密码 管理 更 
加 科学 化 、 规范 化 和 国际 化 , SM4 的 公布 在 我 国 商用 密码 的 产业 发 展 中 具有 里 程 碑 意 义 。 


4.8.1 SM4 密码 算法 


SM4 是 分 组 长 度 和 密 钥 长 度 均 为 128 比特 的 32 轮 迭 代 分 组 密码 算法 ， 它 以 字 节 和 
字 为 单位 对 数据 进行 处 理 。SM4 解密 算法 与 加 密 算法 的 结构 相同 ， 只 是 轮 密 钥 的 使 用 顺 
序 相反 ， 解 密 轮 密 钥 是 加 密 轮 密 钥 的 逆序 。 


1. 基本 运算 

A) SM4 使 用 模 2 加 和 循环 移 位 运算 

O 模 2 加 : 田 ，32 比特 异 或 运算 ; 

© 循环 移 位 ，<<< i，32 比特 循环 左 移 i 位 。 

(2) 置换 运算 : SE 

5S 盒 是 一 种 固定 的 8 比特 输入 、8 比特 输出 的 置换 运算 ， 记 为 Sbox(. )， 它 的 密码 学 
作用 是 起 混淆 作用 。s 盒 的 置换 运算 如 表 4-4 所 示 。 例 如 ，5S 盒 的 输入 为 gg， 则 SAH 
输出 为 表 4-4 中 第 9 行 与 第 a 列 的 交点 处 的 值 32。 即 ，Sbox(9a)=32。 

G) 非 线性 变换 


z 是 一 种 以 字 为 单位 的 非 线 性 变换 , 它 由 4 个 并 行 的 S 盒 构成 。 设 输入 为 4 = (ao, a, 


an a3)， 输 出 为 也 = (Bo, bi, br, bs)， 则 
B = 1(A) = (Sbox(ao), Sbox(a1), Sbox(az), Sbox(a3)) 
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(4) 线性 变换 工 
工 是 以 字 为 单位 的 线性 变换 ， 它 的 输入 、 输 出 都 是 32 位 的 字 。 其 密码 学 的 作用 是 起 
扩散 作用 。 设 输入 为 字 B ， 输 出 为 字 C ， 则 
C = L(B) = B®@(B<<<2) @(B<<<10) @(B<<<18) @(B<<<24) 
(5) 合成 变换 了 
T HIERHER H r 和 线性 变换 工 复合 而 成 ， 数 据 处 理 单 位 是 字 ， 即 并. )=ZG(.))。 
它 在 密码 学 中 起 到 了 混淆 和 扩散 的 作用 ， 因 而 可 以 提高 安全 性 。 


| se | 42 | so |e | 90 | 
e4 | b3 | Ic | a9 | | 
四 加 加 本 可 
s | os | o | 81 
la le le le | 


da | 00 | 46 
falta [alae 
机 
ls To tafe] 
as | ab | 37 | 45 | ae | 
a ar 


0a | c 88 | a5 
89 | 69 | 97 | 4a 96 Te 
nese 


(6) FERR F 

HERA F RARER RAM, UFAR RZA, ARERR AH 
AEM. B F MANX, Xi, X, X), 474432 HF; 轮 密 钥 为 rk，rk 也 是 一 个 32 位 字 。 
轮 函 数 的 运算 式 为 : 


x 
a 


F(X, X1, X2, Xz, rk) = XoOOT(M1B X29 X3Ork) 
HE B = XO XO XsOrk), FEA MARE 了 可 展开 为 非 线性 变换 7 与 线性 变换 工 ， 
可 以 得 到 
F(X, X1, X2, X3, rk) = HB[Sbox(B)] 四 [Sbox(B)<<<2] P[Sbox(B)<<<10] 
@[Sbox(B)<<<18] 四 [Sbox(B)<<<24|] 


2. 加 密 算法 
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SM4 加 密 算法 的 数据 分 组 长 度 为 128 比特 ， 密 钥 长 度 也 为 128 比特 。 加 密 算法 采用 
32 轮 迭 代 结 构 ， 每 一 轮 迭 代 使 用 一 个 轮 密 钥 。 完 整 的 加 密 过 程 包括 加 密 算 法 和 反 序 变换 
两 部 分 ， 如 图 4-16 所 示 。 


加 密 算法 1 BEZH 
明文 = | 
; | 
Xo x | X X X; X: ey Xz :| Xz; Xs X35 | Y Y, Y, 六 
~ fi 
a ig 
rko F l 密 文 
1 | 
rk =| F n kj FÁ — | 


图 4-16 SM4 的 加 密 算法 与 反 序 变 换 


(1) 加 密 算法 

设 输入 明文 为 (Yo, Xi, Xo, 而 )，4 个 32 位 字 。 输 入 轮 密 钥 为 rhi，i= 0,1,…,31， 共 32 
个 字 。 加 密 算法 可 描述 如 下 : 

Xira = F(X), Xiri, Xiz, Xirs, rki) = MO Xin Xin® Xin rki) 

结合 图 4-16，SM4 每 一 轮 加 密 处 理 4 NFX, Xr Xnr Xm) FRPP TEA Bl 
密 文 Xita» 这 个 中 间 密 文 与 前 3 个 字 ( Xir Xiz Xin HHE ite HEB E E. 这 
样 的 加 密 处 理 共 迭代 32 轮 ， 最 终 产生 出 4 个 字 的 准 密 文 (X32, X33, Xss, 5)。 

(2) 反 序 变换 R 

反 序 变换 R 的 输入 是 准 密 文 (2, X33, X34, 融 ;))， 输 出 是 密 文 (7o, Nh, Yo. Ys) REER 
如 下 : 

R(X32, X33, X34, X35)= (X35, X34, X33, X32) = (Yo, Yı, Y2, Y3) 


3. 解密 算法 
SM4 的 解密 与 加 密 的 流程 相同 ， 包 括 解 密 算法 和 反 序 变换 两 部 分 ， 不 同 的 仅 是 轮 密 
钥 的 使 用 顺序 相反 ， 加 密 时 轮 密 钥 使 用 顺序 为 (rfo, rki, rka) URANO ae BB 
顺序 为 (rfa1, rks0,°**, rko)» 如 图 4-17 所 示 。 
解密 算法 1 FEH 


fifa 


sA Xal Xs FAFAFA TE BAe | X| X| X| i | M| M | M | M 
T 


ae) ~ | U 


rk H F 明文 


1 
rko F rk j F 


4-17 SM4 的 解密 算法 与 反 序 变换 


(1) 解密 算法 
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为 了 便于 读者 与 加 密 算 法 对 照 ， 解 密 算法 中 仍然 使 用 五 表示 密 文 ，i= 31,30…,1,0。 
Xi = F(Xra, Xirs, Xiv2, Xiri, rki) = XH O TXO Kin® Xim Orki) 
(2) 反 序 变换 R 


设 输出 的 明文 为 (Mo, My, Mz, Ms)， 反 序 变换 如 下 : 
RG, Xp, Xi, Xo) = (Xo, M1, X2, X3) = (Mo, Mı, M2, M3) 


48.2 SM4 密 钥 扩展 算法 
SM4 的 加 算法 中 ， 采 用 了 32 轮 迭 代 运 算 ， 每 一 轮 迭 代 使 用 一 个 轮 密 钥 ， 因 此 总 共 


需要 32 个 轮 密 钥 , 这些 轮 密 钥 由 加 密 密 钥 通过 密 钥 扩展 算法 生成 。 密 钥 扩 展 中 使 用 了 以 
下 两 组 参数 : 


(1) 系统 参数 FK 

系统 参数 FK 的 取 值 ， 采 用 十 六 进 制 表示 : 

FK, =(43B1BAC6)> FK, =(56443350)> FK, = (677D9197) FK, =(B27022DC) 
(2) 固定 参数 CK 

CK, 是 一 个 字 ， 密 钥 扩展 中 共 使 用 了 32 个 CKi。 设 ckiy 为 CK; 的 第 j 个 字 节 (i = 


0.1…,31:7 =0,1,2,3), BH CK;= (ckio, cki, ckiz, ckia)， 则 
ckij= (4i +j)X7 (mod 256) 
这 32 个 固定 参数 CK; 的 十 六 进 制 表示 如 下 : 
00070e15 1c232a31, 383f464d, 545b6269, 
70777e85, 8c939aal, a8afb6bd, c4cbd2d9, 
e0e7eef5, fc030all, 181f262d, 343b4249, 
50575e65, 6c737a81, 888f969d, a4abb2b9, 
c0c7ced5, dce3eafl, f8ff060d, 141b2229, 
30373e45, 4c535a6l1, 686f767d, 848b9299, 
a0a7aeb5, bec3cad1, d8dfe6ed, £4fb0209, 
10171e25, 2c333a41， 484f565d, 646b7279 。 
设 密 钥 扩展 算法 中 输入 的 加 密 密 钥 为 MK = (MKo MKi, MK, MKs)， 输 出 轮 密 钥 为 
zk;，i=0,1,…,30,31， 中 间 数 据 为 K，i=0,1,…,34,35。 密 钥 扩 展 算法 分 为 以 下 两 步 : 
(1) (Ko, Ki, Ko, K3) = (MKo®FKo, MKIGFK MK,®FK2, MK;@FK3;) 
(2) 对 于 i=0,1,…,30,31 执 行 以 下 操作 : 
tk; = Kia = Ki ® T' (Kin® Kis® Kirs DCK;) 
注意 这 里 的 7' 变换 与 加 密 算法 轮 函 数 的 了 基本 相同 , 只 是 将 其 中 的 线性 变换 工 修改 
AL: 
L' (B) = B ® (B<<<13) ®( B<<<23) 
SM4 密 钥 扩展 算法 也 需要 采用 32 轮 的 迭代 处 理 。 算 法 中 涉及 的 非 线 性 变换 将 极 大 
地 提高 密 钥 扩展 的 安全 性 。 
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48.3 SM4 的 安全 性 


SM4 密码 算法 是 我 国 官方 公布 的 第 一 个 商用 密码 算法 (http://www.oscca.gov.cn), 其 
主要 目的 是 加 密 与 保护 静态 储存 和 传输 信道 中 的 数据 ， 它 广泛 应 用 于 无 线 局 域 网 产品 。 

从 算法 设计 上 看 ，SM4 在 计算 过 程 中 增加 了 非 线 性 变换 ， 理 论 上 能 大 大 加 强 算法 的 
TEE, S 盒 的 引入 使 得 该 算法 在 非 线 性 度 、 运 算 速 度 、 差 分 均匀 性 、 自 相关 性 等 主要 
密码 学 指标 方面 都 具有 相当 的 优势 。 近 年 来 , 国内 外 密码 学 者 对 SM4 进行 了 充分 的 分 析 
与 实验 ， 例 如 ， 利 用 复合 域 实现 S 盒 以 降低 硬件 开销 ; 对 S 盒 进行 差分 故障 攻击 ， 以 显 
示 SM4 抵抗 故障 攻击 的 能 力 ; 对 国 密 SM4 与 SM2 混合 密码 算法 进行 研究 与 实现 ， 以 提 
高 加 密 速度 与 降低 密 钥 管理 成 本 。 这 些 研究 致力 于 SM4 的 低 复杂 度 实 现 、 混 合 加 密 技术 
的 商用 化 、SM4 抗 攻 击 能 力 的 增强 等 方面 ， 这 些 研究 成 果 对 我 们 改进 SM4 密码 和 设计 
新 密码 都 是 有 帮助 的 。 至今, 我 国 国家 密码 管理 局 仍然 支持 SM4 密码 ， 它 的 广泛 应 用 为 
确保 我 国信 息 安全 做 出 了 积极 贡献 。 


49 “分 组 密码 的 工作 模式 


分 组 密码 将 消息 作为 数据 分 组 处 理 ( 加 密 或 解密 )。 一 般 来 讲 ， 大 多 数 消息 (也 就 是 
一 个 消息 串 ) 的 长 度 大 于 分 组 密码 的 消息 分 组 长 度 ， 长 的 消息 串 被 分 成 一 系列 的 连续 排 
列 的 消息 分 组 ， 密 码 机 一 次 处 理 一 个 分 组 。 

人 们 在 设计 了 基本 的 分 组 密码 算法 之 后 ， 紧 接着 设计 了 许多 不 同 的 运行 模式 。 这 些 
运行 模式 〈 除 去 其 中 平凡 的 情形 ) 为 密 文 分 组 提供 了 几 个 人 们 希望 得 到 的 性 质 ， 例 如 ， 
增加 分 组 密码 算法 的 不 确定 性 (随机 性 ); 将 明文 消息 添加 到 任意 长 度 〈 使 得 密 文 长 度 不 
必 与 相应 的 明文 长 度 相 关 ); 错误 传播 的 控制 ， 流 密码 的 密 钥 流 生成 等 。 

这 里 描述 5 个 常用 的 运行 模式 ， 它 们 是 电码 本 CECB) 模式 、 密 码 分 组 链接 (CBC) 
模式 、 输 出 反馈 COFB) 模式 、 密 码 反馈 (CFB) 模式 和 计数 器 (CTR) 模式 。 这 些 描 
述 是 根据 最 近 发 布 的 NIST 的 建议 书 [NIST 2001b] 做 出 的 。 

在 描述 中 ， 将 使 用 下 面 的 记号 。 

(1) EQ): 基本 分 组 密码 的 加 密 算法 。 

(2) D(): 基本 分 组 密码 的 解密 算法 。 

(3) n: 基本 分 组 密码 算法 的 消息 分 组 的 二 进 制 长 度 (在 所 有 考虑 的 分 组 密码 中 ， 明 
文 和 密 文 消息 空间 是 一 样 的 ， 所 以 n 既是 分 组 密码 算法 输入 的 分 组 长 度 ， 也 是 输出 的 分 
组 长 度 )。 

(4) BPP: 输入 到 运行 模式 中 明文 消息 的 m 个 连续 分 段 。 

@ 第 m 分 段 的 长 度 可 能 小 于 其 他 分 段 的 长 度 , 在 这 种 情况 下 ,可 对 第 m 分 段 添加 ， 
使 其 与 其 他 分 段 长 度 相同 。 

© 在 某 些 运 算 模式 中 ， 消 息 分 段 的 长 度 等 于 n( 分 组 长 度 )， 而 在 其 他 运算 模式 中 ， 
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消息 分 段 的 长 度 是 任意 小 于 或 等 于 的 正 数 。 
G) CG,C,,…,C,: 从 运算 模式 输出 的 密 文 消息 的 m 个 连续 分 段 。 
(6) LSB,(B),MSB,(B): 分 别 是 分 组 B PRIR u 位 比特 和 最 高 v 位 比特 ， 例 如 : 
LSB, (1010011) =11, MSB, (1010011) =10100 


(7) ALB: 数据 分 组 4 和 的 链接 ， 例 如 : 


LSB,(101001D|MSB;Q1010011 =11h0100=1110100 


4.9.1 电码 本 模式 


对 一 系列 连续 排列 的 消息 段 进行 加 密 (SURE) 的 一 个 最 直接 方式 就 是 对 它们 逐个 
加 密 (或 解密 )。 在 这 种 情况 下 ,消息 分 段 恰 好 是 消息 分 组 。 由 于 类 似 于 在 电报 密码 本 中 
指定 码 字 ， 故 给 这 个 自然 而 简单 的 方法 起 了 一 个 正式 的 名 字 : 电码 本 模式 (ECB)， 如 
图 4-18 Pras. ECB 模式 定义 如 下 : 

ECB 加 密 C, «E(P )i= 1:2m。 

ECB 解密 PeE(C)i= 1:2m。 


Pi 


1 1 
太一 | 加 密 算法 E| 。 一 一 | 加 密 算法 E 
1 1 
Ĝi G 
(a) 加 密 
CI G 
1 1 
一 一 | 解密 算法 D 天 一 一 | 解密 算法 D 
1 1 
P, P, 
(b) 解密 


图 4-18 电码 本 CECB) 模式 


大 一 一 | 加 密 算法 E 


上 一 一 | 解密 算法 D 


Py 
Cy 
Cy 
Py 


ECB 模式 是 确定 性 的 ， 也 就 是 说 ， 如 果 在 相同 的 密 钥 下 将 五 , 书 ,… 忆 ,加 密 两 次 ， 那 
么 输出 的 密 文 分 组 也 是 相同 的 。 在 应 用 中 ， 数 据 通常 有 部 分 可 猜测 的 信息 ， 例 如 ， 薪 水 
的 数目 就 有 一 个 可 猜测 的 范围 。 如 果 明 文 消息 是 可 猜测 的 ， 那 么 由 确定 性 加 密 方案 得 到 
的 密 文 就 会 使 攻击 者 通过 使 用 试 凑 法 猜测 出 明文 , 例如 ， 如果 知道 由 ECB 模式 加 密 产 生 
的 密 文 是 一 个 薪水 数字 ， 那 么 攻击 者 只 需 少量 的 试验 就 可 以 恢复 出 这 个 数字 。 通 常 不 希 
望 使 用 确定 性 密码 ， 因 此 在 大 多 数 应 用 中 不 要 使 用 ECB 模式 。 


4.9.2 ”密码 分 组 链接 模式 


密码 分 组 链接 (CBC) 运行 模式 是 用 于 一 般 数 据 加 密 的 一 个 普通 的 分 组 密码 算法 。 
使 用 CBC 模式 ， 输 出 是 nb 密码 分 组 的 一 个 序列 ， 这 些 密码 分 组 链接 在 一 起 使 得 每 个 密 
码 分 组 不 仅 依赖 于 所 对 应 的 原文 分 组 ， 而 且 依赖 于 所 有 以 前 的 数据 分 组 。CBC 模式 进行 
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如 下 运算 : 
CBC NH HA: IV, PLP P,s 输出 : IV，C,Cy…,C,; 
OGEN; 
C, E(P DC) i=1L2; em; 
CBC 解密 HMA: IV，C,C,,…,C,; 输出 : P,P,…,P,; 
C, IV; 
P 4+ D(C) C, i =1,2, -mo 
第 一 个 密 文 分 组 C 的 计算 需要 一 个 特殊 的 输入 分 组 Co， 习 惯 上 称 之 为 “初始 向 量 ” 
CIV). IV 是 一 个 随机 的 nb 分 组 ， 每 次 会 话 加 密 时 都 要 使 用 一 个 新 的 随机 ITV， 由 于 IV 
可 看 成 密 文 分 组 ， 因 此 无 须 保 密 ， 但 一 定 是 不 可 预知 的 。 由 加 密 过 程 知道 ， 由 于 IV 的 随 
机 性 ， 第 一 个 密 文 分 组 Ci 被 随机 化 ， 同 样 ， 依 次 后 续 的 输出 密 文 分 组 都 将 被 前 面 紧 接着 
的 密 文 分 组 随机 化 ， 因 此 ，CBC 模式 输出 的 是 随机 化 的 密 文 分 组 。 发 送 给 接收 者 的 密 文 
消息 应 该 包括 TV。 因此， 对 于 m 个 分 组 的 明文 ，CBC 模式 将 输出 m 个 密 文 分 组 。 
令 0.,0,,…,0, 是 对 密 文 分 组 C,,C,,C,,…,C, 解密 得 到 的 数据 分 组 输出 ， 则 由 
9,=D(C) ®C_, =R OC) OC, =F 


il 


可 知 ， 它 确实 正确 地 进行 了 解密 。 图 4-19 给 出 了 CBC 模式 的 图 示 。 


nb 存储 ] ] nb 存储 
L E -| D | 一 


图 4-19 密码 分 组 链接 模式 


4.9.3 ”密码 反馈 模式 


密码 反馈 (CFB) 运行 模式 的 特点 在 于 反馈 相继 的 密码 分 段 ， 这 些 分 段 从 模式 的 输 
出 返回 作为 基础 分 组 密码 算法 的 输入 。 消 息 〈 明 文 或 密 文 ) 分 组 长 为 s， 其 中 1<s<n。 
CFB 模式 要 求 IV 作为 初始 的 nb 随机 输入 分 组 ， 因 为 在 系统 中 IV 是 在 密 文 的 位 置 中 ， 
所 以 它 不 必 保密 。 


CFB 模式 有 如 下 的 运算 : 
CFB 加 密 输入: IV, PPPs 输出， IV，G,C,…,C,; 
< 
I, LSB, a) |C i=2,3,.…,m; 
O, < E(,) i=1,2,---,m; 
C, <P ®MSB,(O,) a ms 
CFB 解密 ”输入 : IV，CG,C,,…,C,; 输出 : P,PB,…,P,; 
E 
I, LSB, .Clc， i=2,3,-,m; 
0, < E(I,) i=1,2,--,m 5 
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P < C, ® MSB, (0,) i=1,2,…,m o 

在 CFB 模式 中 ， 基 本 分 组 密码 的 加 密 函 数 用 在 加 密 和 解密 的 两 端 。 因 此 ， 基 本 密码 
函数 EE 可 以 是 任意 (加 密 的 ) 单 向 变换 ， 例 如 单 向 杂凑 函数 。CFB 模式 可 以 考虑 作为 流 
密码 的 密 钥 流 生成 器 ， 加 密 变 换 是 作用 在 密 钥 流 和 消息 分 段 之 间 的 弗 纳 姆 密码 。 与 CBC 
模式 类 似 , 密 文 分 段 是 前 面 所 有 的 明文 分 段 的 函数 值 和 IV。 图 4-20 为 CFB 模式 的 图 示 。 


IV 一 ce ) 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-s 位 | s 位 b-s 位 | s 位 b-s 位 | s 位 
qo {a 64 
K—=| ”加 密 上 一 ”加密 a K—— ”加 密 
1% to 64 
选择 丢弃 选择 丢弃 选择 丢弃 
s 位 | b-sfit s 位 | b-sfit s 位 | 5b-s 位 
Pi s P, Js Pu qs 
Ss S 由 
sS 
s 1 
CI CG Cu 
(a) 加 密 
NV [| cc 全 人 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-sfit | s 位 b-sfit | stù bp-s 位 | stù 
{a {a 64 
K 一 | më k—| më e K— më 
fea s foa 64 
选择 ER 选择 丢弃 选择 丢弃 
$s 位 | bs 位 s 位 | b-sfit stù | bs 位 
s 48 s 
l 1 ， 
> CI 中 一 一 一 *— Cyu 
1 
P; P, Pu 
(b) 解密 


4-20 ”密码 反馈 模式 


49.4 输出 反馈 模式 


输出 反馈 COFB) 运行 模式 的 特点 是 将 基本 分 组 密码 的 连续 输出 分 组 回 送 回去 。 这 
些 反馈 分 组 构成 了 一 个 比特 串 ， 被 用 做 弗 纳 姆 密码 的 密 钥 流 的 比特 串 ， 就 是 密 钥 流 与 明 
文 分 组 相 异 或 。 OFB 模式 要 求 IV 作为 初始 的 随机 nb 输入 分 组 。 因 为 在 系统 中 , IV 是 在 
密 文 的 位 置 中 ， 所 以 它 不 需要 保密 。OFB 模式 运算 如 下 。 
OFB 加 密 ” 输 入 : IV, R,P, P, 输出 : IV，G,CG,,…,C,; 
pb 
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LEO), i=2,3,…,m; 
O,<E(1,) i=1,2,---,m; 
C&P OO. i=1,2,---,m 

OFB 解密 ”输入 : IV, COs C, 输出 : P,PB,…,P,; 
£< Iv; 
L<O,, i=2,3,…,m; 
O, < E(1,) i=1,2,--,m; 
P «+C, 90, i=1,2,---,mo 


在 OFB 模式 中 , 加 密 和 解密 是 相同 的 : 将 输入 消息 分 组 与 由 反馈 电路 生成 的 密 钥 流 
相 异 或 。 反 馈 电路 实际 上 构成 了 一 个 有 限 状态 机 ， 其 状态 完全 由 基础 分 组 密码 算法 的 加 
密 密 钥 和 IV 决定 。 所 以 ， 如 果 密 码 分 组 发 生 了 传输 错误 ， 那 么 只 有 相应 位 置 上 的 明文 分 
组 会 发 生 错乱 ， 因 此 ，OFB 模式 适宜 不 可 能 重 发 的 消息 加 密 ， 如 无 线 电信 号 。 与 CFB 
模式 类 似 , 基础 分 组 密码 算法 可 用 加 密 的 单 向 杂凑 函数 代替 。 图 4-21 为 OFB 模式 的 图 示 。 


V [六 一 or = 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-s 位 | s 位 bs 位 | stù b-sfit | s 位 
f 64 f 64 64 
人 一 | WE K— me ae K-=| ”加密 
64 i 64 64 
选择 丢弃 选择 丢弃 选择 EF 
stù | bs 位 shit | b-sfit s 位 | 5-s 位 
P, 5 2 Zs Pu s 
S X s 1 
2 -$ 2-4) P: -© 
S 
1 1 
[ef G Cu 
(a) 加 密 
IV | 一 | Ona 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
0-s 位 | s 位 b-sfit | s 位 ps 位 | s 位 
64 64 
x «mE 
64 s 64 
选择 EA 选择 丢弃 
sft | b-sfiz s 位 | 5b-s 位 
S ks 
1 
5 CI 中 一 一 一 C 
1 1 
Pi P, Pu 


(b) 解密 
图 4-21 输出 反馈 模式 〈 加 密 和 解密 ) 
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495 计数 器 模式 


计数 器 (CTR) 模式 的 特征 是 ， 将 计数 器 从 初始 值 开始 计数 所 得 到 的 值 馈 送 给 基础 
分 组 密码 算法 。 随 着 计数 的 增加 , 基础 分 组 密码 算法 输出 连续 的 分 组 来 构成 一 个 比特 串 ， 
该 比特 串 被 用 做 弗 纳 姆 密码 的 密 钥 流 ， 也 就 是 密 钥 流 与 明文 分 组 相 异 或 。CTR 模式 运算 
WTF OXE Ctr, 是 计数 器 初始 的 非 保密 值 )。 
CTR INA A: Cty, P.P.P,; 输出 : Ctn，G ,CC,; 
C, <P @OE(Ctr),i=12,---,m. 
CTR 解密 ”输入 : Ctr» CCCa; Mth: PB,B,…,P,; 
Pe CO@ECt),i=12,…,m. 
因为 没有 反馈 ，CTR 模式 的 加 密 和 解密 能 够 同时 进行 ， 这 是 CTR 模式 比 CFB 模式 
和 OFB 模式 优越 的 地 方 。 图 4-22 为 CTR 模式 的 图 示 。 


Ctr, Ctr, Ctry 
Sl 加 密 | Sf 加 密 E Sef 加 密 
nod rod rood 
Gi G Cy 

(a) 加 密 
Ctr, Ctr, Ctry 
i 
£ 加 密 | H me] .. + me 
WE 
P, P, Py 

(b) 解密 


图 4-22 ”计数 器 (CTR) 模式 


习 是 
一 、 填 空 题 
1. 密码 体制 的 语法 定义 由 以 下 6 部 分 构成 : 、 、 s 
` 和 。 

2. FL CAA) 钥 加 密 体制 的 特点 是 ， 所 以 人 们 通常 也 称 其 为 对 称 加 密 体制 。 

3. 古典 密码 有 两 个 基本 工作 原理 : 和 

4. 对 明文 消息 的 加 密 有 两 种 : 一 种 是 将 明文 消息 按照 字符 《〈 如 二 元 数字 ) 逐 位 地 加 
密 ， 称 为 ; 另 一 种 是 将 明文 消息 分 组 (含有 多 个 字符 )， 逐 组 地 进行 加 密 ， 称 为 

5. 在 理论 上 ， 加 密 信息 的 安全 性 不 取决 于 的 保密 ， 而 取决 于 的 


保密 。 
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6. 美国 数据 加 密 标准 DES 的 密 钥 长 度 为 位 ， 分 组 长 度 为 位 。 

7. 新 一 代数 据 加 密 标准 AES 的 密 钥 长 度 是 位 ， 分 组 长 度 是 位 。 

8. AS 是 欧洲 蜂窝 移动 电话 系统 中 采用 的 加 密 算法 ， 用 于 到 线路 
上 的 加 密 。As 的 唯一 缺点 是 5 

9. 试 列举 5 种 常用 的 分 组 密码 算法 : 3 ; 
和 

10. 分 组 密码 常用 的 工作 模式 有 3 
All a 

11. 祖冲之 密码 本 质 上 是 一 个 密 钥 序列 产生 算法 ， 其 输入 为 比特 的 初始 密 
钥 和 比特 的 初始 向 量 , 输出 为 比特 的 密 钥 字 序 列 。 其 逻辑 上 分 为 3 层 ， 
分 别 是 和 

12. SM4 密码 的 分 组 长 度 和 密 钥 长 度 分 别 为 和 。 加 密 算法 采用 
— HRR. 

二 、 思 考题 


1. 加 密 算法 为 什么 不 应 该 包含 秘密 设计 部 分 ?从 理论 上 讲 , 数据 的 保密 是 取决 于 算 
法 的 保密 还 是 密 钥 的 保密 ? 为 什么 ? 

2. 弗 纳 姆 密码 是 一 种 代 换 密码 吗 ? 它 是 单 表 代 换 还 是 多 表 代 换 ? 

3. 弗 纳 姆 密码 和 一 次 一 密 体制 的 不 同 之 处 是 什么 ? 

4. 为 什么 说 一 次 一 密 加 密 抗 窃听 是 无 条 件 安全 的 ? 

5. 虽然 简单 代 换 密码 和 换 位 密码 对 频 度 分 析 攻 击 是 十 分 脆弱 的 , 为 什么 它们 仍 被 广 
泛 使 用 在 现代 加 密 方案 和 密码 协议 中 ? 

6. 流 密码 是 单 钥 体 制 还 是 双 钥 体制 ? 它 与 分 组 密码 的 区 别 是 什么 ? 

7. 现代 密码 通常 是 由 几 个 古典 密码 技术 结合 起 来 构造 的 。 在 DES 和 AES 中 找 出 采 
FAT Pik 3 种 密码 技术 的 部 分 : 四 代 换 密码 ;，@ 换 位 密码 ; @ 弗 纳 姆 密码 。 

8. AES 的 分 组 长 度 和 密 钥 长 度 是 多 少 ? AES 的 引入 对 密码 学 带 来 的 积极 影响 有 
哪些 ? 

9. 为 什么 AES 被 认为 是 非常 有 效 的 ? 在 AES 的 实现 中 , 有 限 域 书 ,中 的 乘法 是 如 何 
实现 的 ? 

10. 在 分 组 密码 的 密码 分 组 链接 (CBC) 运行 模式 下 ， 如 果 收 到 的 密 文 的 解密 “ 具 
有 正确 的 填充 ” 你 认为 传输 的 明文 有 有 效 的 数据 完整 性 吗 ? 

11. 为 什么 祖冲之 密码 算法 在 完成 初始 化 进入 工作 状态 后 ,将 算法 第 一 次 执行 过 程 下 
的 输出 W 舍弃 ? 

12. 试 从 算法 角度 ， 对 SM4 与 AES 进行 比较 。 
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第 $ 重 
ACA) 钥 密 码 体制 


UGA CAH) 体制 于 1976 年 由 W. Diffie 和 M. Hellman 提出 ， 同 时 R. Merkle 也 独 
立 提出 了 这 一 体制 。J H. Ellis 的 文章 阐述 了 公 钥 密码 体制 的 发 明史 ,说 明了 CESG 的 研 
究 人 员 对 双 钥 密码 体制 发 明 所 做 出 的 重要 贡献 。 这 一 体制 的 最 大 特点 是 采用 两 个 密 钥 将 
加 密 和 解密 能 力 分 开 : 一 个 密 钥 公开 作为 加 密 密 钥 ， 称 为 公 钥 ， 一 个 密 钥 为 用 户 专用 ， 
作为 解密 密 钥 ， 称 为 私 铀 。 通 信 双 方 无 须 事先 交换 密 钥 就 可 进行 保密 通信 。 但 是 从 公开 
的 公 钥 或 密 文 分 析出 明文 或 私 钥 ， 则 在 计算 上 是 不 可 行 的 。 若 以 公开 钥 作 为 加 密 密 钥 ， 
以 用 户 专 用 钥 作 为 解密 密 钥 , 则 可 实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解 读 ; RZ, 
以 用 户 专用 钥 作 为 加 密 密 钥 而 以 公开 钥 作 为 解密 密 钥 ， 则 可 实现 由 一 个 用 户 加 密 的 消息 
而 使 多 个 用 户 解读 。 前 者 可 用 于 保密 通信 ， 后 者 可 用 于 数字 签名 。 这 一 体制 的 出 现 是 密 
码 学 史上 划时代 的 事件 ， 它 为 解决 计算 机 信息 网 中 的 安全 提供 了 新 的 理论 和 技术 基础 。 

自 1976 年 以 来 ， 双 钥 体 制 有 了 飞速 发 展 ， 人 们 不 仅 提出 了 多 种 算法 ， 而 且 出 现 了 不 
少 安全 产品 ， 有 些 已 用 于 NI 和 GI 之 中 。 本 章 介 绍 其 中 的 一 些 主 要 体制 ， 特 别 是 那些 
既 有 安全 性 ， 又 有 实用 价值 的 算法 。 其 中 ， 包 括 可 用 于 密 钥 分 配 、 加 解密 或 数字 签名 的 
双 钥 算法 。 一 个 好 的 系统 不 仅 算法 要 好 ， 还 要 求 能 与 其 他 部 分 〈 如 协议 等 ) 进行 有 机 
组 合 。 

由 于 双 钥 体制 的 加 密 变 换 是 公开 的 ， 任 何人 都 可 以 采用 选择 明文 来 攻击 双 钥 体 制 ， 
因此 ， 明 文 空间 必须 足够 大 才能 防止 穷尽 搜索 明文 空间 攻击 。 这 在 双 钥 体制 应 用 中 特别 
重要 (如 用 双 钥 体制 加 密会 话 密 钥 时 , 会 话 密 钥 要 足够 长 )。 一 种 更 强 有 力 的 攻击 法 是 选 
择 密 文 攻击 ， 攻 击 者 选择 密 文 ， 然 后 通过 某 种 途径 得 到 相应 的 明文 ， 多 数 双 钥 体制 对 于 
选择 密 文 攻击 特别 敏感 。 攻 击 者 通常 采用 两 类 选择 密 文 攻击 : 

CL) 冷漠 选择 密 文 攻击 。 在 接收 到 待 攻 击 的 密 文 之 前 ， 可 以 向 攻击 者 提供 他 们 所 选 
择 的 密 文 的 解密 结果 。 

(2) 自 适 应 选择 密 文 攻击 。 攻 击 者 可 能 利用 (或 接 入 ) 被 攻击 者 的 解密 机 (但 不 知 
其 秘密 钥 ), 而 可 以 对 他 所 选择 的 、 与 密 文 有 关 的 待 攻 击 的 密 文 ， 以 及 以 前 询问 得 到 的 密 
文 进行 解密 。 

本 章 介 绍 双 钥 体制 的 基本 原理 和 几 种 重要 算法 ， 如 RSA, ElGamal, MAHR. 4 
于 身份 的 密码 体制 和 中 国 商 用 密码 SM2 算法 等 密码 算法 。 

Diffie [Diffie 1992] 曾 对 双 钥 体制 的 发 展 做 了 全 面 论述 。 
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51 ” 双 钥 密码 体制 的 基本 概念 


对 于 双 钥 密码 体制 来 说 ， 其 安全 性 主要 取决 于 构造 双 钥 算法 所 依赖 的 数学 问题 。 要 
求 加 密 函 数 具有 单 向 性 ， 即 求 逆 的 困难 性 。 因 此 ， 设 计 双 钥 体 制 的 关键 是 首先 要 寻求 一 
个 合适 的 单 向 函数 。 


5.1.1 单 向 函数 

定义 5-1 SHA f ER 4 到 集 B 的 映射 用 了 :4->B 表 示 。 若 对 任意 ey, 
,EA4， 有 J 了 (3) 了 f(x)， 则 称 f 为 单 射 ， 或 1-1 映射 ， 或 可 逆 的 函数 。 

f 为 可 北 的 充 要 条 件 是 ， 存 在 函数 g:B->4， 使 对 所 有 xe4 有 g[f(x)]=x。 

定义 5-2 -ATERA S: A>B, FEWE: 

(1) 对 所 有 xe 4， 易 于 计算 f(x). 

(2) 对 “几乎 所 有 xe 4” 由 了 (x) 求 x“ 极 为 困难 ”以 至 于 实际 上 不 可 能 做 到 ， 则 
称 f 为 单 向 (One-Way) 函数 。 

定义 中 的 “极为 困难 ”是 对 现 有 的 计算 资源 和 算法 而 言 。Massey 称 此 为 视 在 困难 性 
(Apparent Difficulty)， 相 应 函数 称 为 视 在 单 向 函数 ， 以 此 来 与 本 质 上 的 困难 性 (Essential 
Difficulty) 相 区 分 [Massey 1985]。 

例 S-1 令 f 是 在 有 限 域 GF(p) 中 的 指数 函数 ， 其 中 pp 是 大 素数 ， 即 

y= (Waa (5-1) 
式 中 ，xeGF(P) ，x 为 满足 0 三 x< p11 的 整数 ， 其 逆 运 算是 GF(p) 中 定义 的 对 数 运算 ， 
即 
x=log,a* 0<x<p-l (5-2) 

显然 , 由 x 求 y 是 容易 的 ， 即使 当 p 很 大 , 例如 px2” 时 也 不 难 实现 。 为 方便 计算 ， 
以 下 令 a=2。 所 需 的 计算 量 为 log 次 乘法 ， 存 储量 为 (log p)b， 例 如 p=2” 时 ， 需 做 100 
次 乘法 。 利 用 高 速 计算 机 由 x 计算 w 可 在 0.1ms 内 完成 。 但 是 相对 于 当前 计算 GF(p) 中 
对 数 最 好 的 算法 ， 要 从 计算 x 所 需 的 存储 量 大 约 为 (3/2)x Vp log Pb， 运算 量 大 约 为 
(1/2)xVp log po “4 p=2'” 时 ， 所 需 的 计算 量 为 /2)x2”x100~10% 次 ， 用 计算 指数 
一 样 快 的 计算 机 进行 计算 需 时 约 10” BD (1 年 =10” 秒 ， 故 约 为 1600 年 。 其 中 假定 存储 量 
的 要 求 能 够 满足 )。 由 此 可 见 ， 当 p 很 大 时 ，GF(p) 中 的 f(x)=Q”*，x<p 一 1 为 单 向 函数 。 

Pohlig 和 Hellman 对 (p-1) 无 大 素 因 子 时 给 出 一 种 快速 求 对 数 的 算法 [Pohlig 等 1978]。 
特别 是 当 p=2”+1 时 ， 从 a* 求 x 的 计算 量 仅 需 (log py KRA. WF p= ”+1， 在 高 
速 计算 机 上 大 约 仅 需 时 10ms。 因 此 ， 在 这 种 情况 下 ， f(x)=a” 就 不 能 被 认为 是 单 向 
函数 。 

综 上 所 述 ， 当 对 素数 p， 且 p-1l 有 大 的 素 因子 时 ，GF(p) 上 的 函数 f(x)=a” 是 一 个 视 
在 单 向 函数 。 寻 求 在 GF(p) 上 求 对 数 的 一 般 快速 算法 是 当前 密码 学 研究 中 的 一 个 重要 课题 。 
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5.1.2 ” 陷 门 单 向 函数 


单 向 函数 是 求 逆 困 难 的 函数 ,而 陷 门 单 向 函数 (Trapdoor One-Way Function) 是 在 不 
知 陷 门 信息 下 求 逆 困 难 的 函数 ， 当 知道 陷 门 信息 后 ， 求 逆 易 于 实现 。 这 是 Diffie 和 
Hellmam[Diffie 等 1976] 引 入 的 有 用 概念 。 

号 码 锁 在 不 知 预 设 号 码 时 很 难 打开 , 但 若 知道 所 设 号 码 则 容易 开启 。 太平门 是 另 一 例 ， 
从 里 面向 外 出 容易 , 若 无 钥 匙 者 反 向 难 进 。 但 如 何 给 陷 门 单 向 函数 下 定义 则 很 棘手 ,因为 : 

C1) 陷 门 函数 其 实 不 是 单 向 函数 ， 因 为 单 向 函数 是 在 任何 条 件 下 求 逆 都 是 困难 的 。 

(2) 陷 门 可 能 不 止 一 个 ， 通 过 试验 ， 一 个 个 陷 门 就 可 容易 地 找到 逆 。 如果 陷 门 信息 
的 保密 性 不 强 ， 求 逆 也 就 不 难 。 

定义 5-3” 陷 门 单 向 函数 是 一 类 满足 下 述 条 件 的 单 向 函数 : 大: 二 >B, zeZ, Z 
是 陷 门 信息 集 。 

(1) 对 所 有 ze2Z,， 在 给 定 z 下 容易 找到 一 对 算法 E. 和 DD.， 使 对 所 有 xe4， 易 于 计 
fp RIGS, B 

L(x) = 已 CD (5-3) 
D.(f.(x))=x (5-4) 

而 且 当 给 定 z 后 容易 找到 一 种 算法 已 , 称 已 为 可 用 消息 集 鉴 别 函数 , 对 所 有 xe AD 
于 检验 是 否 xe 和 (和 4 C4)， 和 是 可 用 的 明文 集 。 

(2) 对 “几乎 所 有 ”zeZ， 当 只 给 定 E 和 所 时 ， 对 “几乎 所 有 ”xe 4 ，“ 很 难 ” 
( 即 “ 实 际 上 不 可 能 ”) My = F(x) HH x. 

G) 对 任 一 z, 集 4. 必须 是 保密 系统 中 明文 集中 的 一 个 “方便 ” 集 。 即 便于 实现 明 
文 到 它 的 映射 (在 双 钥 密码 体制 中 是 默认 的 条 件 )。(Diffie 和 Hellman 定义 的 陷 门 函数 中 ， 
4 =4， 对 所 有 Z 成 立 。 实 际 中 的 和 4 取决 于 2). 


5.1.3” 公 钥 系 统 

在 一 个 公 钥 系统 中 ， 所 有 用 户 共同 选 定 一 个 陷 门 单 向 函数 ， 加 密 运 算 E 及 可 用 消息 
集 鉴别 函数 。 用 户 i 从 陷 门 集中 选 定 z;， 并 公开 E. 和 瑟 。 任 一 要 向 用 户 i 发 送 机 密 消 
a, WAR, 检验 消息 x 是 否 在 许 用 消息 集 之 中 ， 然 后 送 y=E, 给 用 户 x 即 可 。 

在 仅 知 y，E, AR, 的 情况 下 ， 任 一 用 户 不 能 得 到 x。 但 用 户 i 利用 陷 门 信息 z,;， 易 
于 得 到 刀 (y)=x。 

定义 5-4 NzeZAERxeX, F(x) oycY=X. F 

F(A) =F) (5-5) 

RA, MF F ATHA AL. 

可 换 单 向 函数 在 密码 学 中 更 有 用 。 

5.1.4 “用 于 构造 双 钥 密码 的 单 向 函数 

Diffie 和 Hellman 在 1976 年 发 表 的 文章 虽 未 给 出 陷 门 单 向 函数 ， 但 大 大 推动 了 这 
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方面 的 研究 工作 。 双 钥 密码 体制 的 研究 在 于 ， 给 出 这 种 函数 的 构造 方法 以 及 它们 的 安 
全 性 。 

陷 门 单 向 函数 的 定义 并 没有 指出 这 类 函数 是 否 存 在 ， 但 其 中 指出 : 一 个 单 钥 密码 体 
制 ， 如 果 能 抗击 选择 明文 攻击 ， 就 可 规定 一 个 陷 门 单 向 函数 。 以 其 密 钥 作为 陷 门 信息 ， 
则 相应 的 加 密 函 数 就 是 这 类 函数 。 这 是 构造 双 钥 体 制 的 途径 。 

下 面 是 一 些 单 向 函数 的 例子 。 目 前 多 数 双 钥 体制 是 基于 这 些 问题 构造 的 。 


1. 多 项 式 求 根 
有 限 域 GFCD) 上 的 一 个 多 项 式 
y=f(x)=x" +a, x" +--+ a,x +a, mod p 
HAE aaraa p Rx, RADR y AH Honers 法 则 ， 即 
F(x) =+ a,n) a, ay)xz+a 3)x+…+Ta)x+ao (5-6) 

最 多 有 n 次 乘法 和 n—1 次 加 法 。 反 之 ， 已 知 y,ao,…,a,，， 要 求解 x 需 能 对 高 次 方 
程 求 根 。 这 至 少 要 | n? (lbp)? | 次 乘法 (这 里 ，| a | 表示 不 大 于 a 的 最 大 整数 )， 当 n, p 
很 大 时 很 难 求解 。 


2， 离 散 对 数 DL (Discrete Logarithm) 

给 定 一 大 素数 p，p-l1 含 另 一 大 素数 因子 9， 可 构造 一 乘 群 Z, ， 它 是 一 个 p- 阶 循 
环 群 。 其 生成 元 为 整数 g，1< g < 忆 -1。 已 知 x， 容 易 求 y=8g modPp ， 这 只 需 | 1b2x |--1 
KRE, Mx=15=1111,, gh=((1° gy +g) * gf *gmod p, #H 3+4-1=6 次 乘法 。 

FBA y, g p， 求 x=logs ymod p 为 离散 对 数 问题 。 最 快 求解 法 运算 次 数 渐 近 值 为 

L(p) = OCexp{(1+ 0(1)), [np ln(dn p)}) (5-7) 

p=512 时 ， L(p)=2” =10" 2 

若 离散 对 数 定义 在 GF(2") HHI 2” -1 阶 循环 群 上 ，Shanks 和 Pohlig-Hellman 等 的 离 
散 对 数 算法 预计 算 量 的 渐 近 式 为 


O(exp {(1.405 + 0(1))n"? (Inn)*?}) (5-8) 
求 一 特定 离散 对 数 的 计算 量 的 渐 近 式 为 
L(p) = Of exp {(1.098 + o(1))n"? Qnn)?” }) (5-9) 


具体 请 参阅 [LaMacchia 等 1991; McCurley 1990]. 
广义 离散 对 数 问题 是 在 n 阶 有 限 循 环 群 G 上 定义 的 。 


3. 大 整数 分 解 FAC (Factorization Problem) 

判断 一 个 大 奇数 是 否 为 素数 的 有 效 算法 , 大 约 需 要 的 计算 量 是 | 15n | , 4 n Wy 256 
BK 512 位 的 二 元 数 时 ， 用 当前 计算 机 做 可 在 10 分 钟 内 完成 。 

车 已 知 两 个 大 素数 p 和 gq， 求 n=p*g 只 需 一 次 乘法 ,但 车 由 n, Kp Ag, WIL 
千年 来 数论 专家 的 攻关 对 象 。 迄 今 为 止 ， 已 知 的 各 种 算法 的 渐 近 运行 时 间 如 下 : 

(1) 试 除法 : 最 早 的 也 是 最 慢 的 算法 ， 需 试验 所 有 小 于 sqrt(n) 的 素数 ， 运 行 时 间 为 
指数 函数 。 
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(2) 二 次 第 (QS): 
Tn) = O(exp{(1 + oD) Vinn In(nm))}) (5-10) 
该 算法 为 小 于 110 位 整数 最 快 的 算法 , 倍 多 项 式 二 次 得 (MPQS) 是 QS 算法 的 变型 ， 
它 比 QS 算法 更 快 。MPQS 的 双 倍 大 指数 变型 还 要 更 快 一 些 。 
G) 椭圆 曲线 CEC): 


T(n) = O(exp{(1+ o(1))\/2In p Inn p)}) (5-11) 
(4) 数 域 第 (NFS): 
T(n) = O(exp{(1.92+o)Inn) (nn 7)? ®}) (5-12) 


AP, p 是 n 的 最 小 的 素 因 子 ， 最 坏 的 情况 下 pxm”。 当 nx2， 要 用 3.8x10? 年 
(一 秒 进行 100 万 次 运算 )。 虽 然 整数 分 解 问题 已 进行 了 很 长 时 间 研 究 ， 但 至 今 尚 未 发 现 
快速 算法 。 目 前 对 于 大 于 110 位 的 整数 数 域 筛 是 最 快 的 算法 ， 曾 用 于 分 解 第 9 个 Fermat 
数 。 目 前 的 进展 主要 是 靠 计 算 机 资源 来 实现 的 。 二 次 得 法 可 参阅 [Pomerance 1984; Carton 
等 1988]; 数 域 筛 法 可 参阅 [Lenstra 等 1993]; 椭圆 曲线 法 参阅 [Pollard 1993; Lenstra 1987; 
Montgomery 1987]. 

7T(n) 与 LO) 的 表示 式 大致 相 同 ， 一 般 当 ”=p 时 ， 解 离散 对 数 要 更 难 些 。 

RSA 问题 是 FAC 问题 的 一 个 特例 。n 是 两 个 素数 p 和 g ZA, BE n 后 求 素 因 子 p 
和 4 的 问题 称 为 RSAP。 求 n= pg 分 解 问题 有 以 下 几 种 形式 : 

(1) DRS n H pA qo 

(2) 给 定 整数 M 和 C， 求 4 使 C" =Mmodn. 

G) 给 定 整数 e 和 C, RM IEM? =Cmodn. 

(4) 给 定 整 数 x 和 C， 决 定 是 否 存 在 整数 y 使 x=y modn〔 二 次 剩余 问题 )。 


4. Diffie-Hellman 问题 (DHP) 

给 定 素数 p， 令 a 为 Z; WERT, CMa Ala’, Ra” 的 问题 为 Diffie-Hellman 
问题 ， 简 称 DHP。 若 a 为 循环 群 G HERT, HEA a Ma J G 中 的 元 素 ， 求 we 的 
问题 为 广义 Diffie-Hellman 问题 , 简 记 为 GDHP[den Boer 1988; Maurer 1994b; Waldvogel 
等 1993; McCurley 1988]。 

在 [Menezes 等 1997] 一 书 的 第 4 章 对 双 钥 密码 体制 公 钥 参数 的 生成 和 有 关 算 法 进行 
了 全 面 介绍 ， 该 书 的 第 3 章 对 密码 中 用 到 的 数学 难题 进行 了 全 面 系统 的 论述 。 此 外 ， 还 
可 参阅 [Pomerance 1990; Adleman 等 1994; Bach 1990; Lenstra 等 1990a，1990b]。 


52 RSA 密码 体制 


1978 年 ，MIT 的 3 位 年 轻 数学 家 RLIL.Rivest，A.Shamir fil L.Adleman 发 现 了 一 种 用 
数论 构造 双 钥 的 方法 [Rivest 等 1978，1979]， 称 为 MIT 体制 ， 后 来 被 广泛 称 为 RSA 体 
制 。 它 既 可 用 于 加 密 ， 又 可 用 于 数字 签名 ， 易 懂 且 易于 实现 ， 是 目前 仍然 安全 并 且 逐 步 
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被 广泛 应 用 的 一 种 体制 。 国 际 上 一 些 标准 化 组 织 (如 ISO, ITU 和 SWIFT 等 ) 均 已 接受 
RSA 体制 作为 标准 。 在 因特网 中 所 采用 的 PGP (Pretty Good Privacy) 中 也 将 RSA 作为 
传送 会 话 密 钥 和 数字 签名 的 标准 算法 。 

RSA 算法 的 安全 性 基于 5.1 节 介绍 的 数论 中 大 整数 分 解 的 困难 性 。 


5.2.1 RSA 密码 体制 
独立 选取 两 个 大 素数 p, 和 p，( 各 100~200 位 十 进 制 数字 )， 计 算 


n=p,xp, (5-13) 
其 欧 拉 函数 值 为 
gln) = (Pp, -D(P2-) (5-14) 
piut BAK ce, 1<e<G(n), (Y(n),e)=1. Aifitetg(n)F, e 有 逆 元 
d =e" modg(n) (5-15) 


取 公 和 钥 为 n”，e。 密 钥 为 4 ( p,，p, 不 再 需要 ， 可 以 销毁 )。 
加 密 : 将 明文 分 组 ， 各 组 在 mod n 下 ， 可 唯一 地 表示 出 来 (以 二 元 数字 表示 ， 选 2 
的 最 大 窘 小 于 n)。 各 组 长 达 200 位 十 进 制 数字 。 可 用 明文 集 为 
A, = {x:1Sx<n,(x,n)=]}} 
YER, (xn) 1 是 很 危险 的 。xe 4 的 概率 
emn) -Dp dD) 1 1 1 


十 一 1 
n PPa P, P PP 
密 文 
y=x modn (5-16) 
解密 : 
x= y’ modn (5-17) 


证 明 : y=(x*) =xe ， 因 为 de=lmodp(z) 而 有 de=dp(0D)+1。 由 欧 拉 定 理 ，(x， 

n)=1 意味 x?o =lmodn, WA 
yt = x8 = x = © 1=xmodn 

陷 门 函数 : Z=(p,p,,q) 

GS-2 选 p =47, p =71, W] n=44 于 » An) =46x 70 =3220 。 若 选 e=79， 
可 计算 dq =e (mod3220) =1019. AF n=3337 和 e=79。 密 钥 4 =1019. H p> po 

4 x=688 232 687 966 668 3, 分 组 得 x =688, x, =232, x, =687, x, =966, 
X,=668, x,=3. x 的 加 密 为 (688)”Qmod3337)=1570=y。 同 样 ， 可 计算 出 其 他 各 组 
密 文 。 得 到 密 文 y=1570 2756 2714 2423 158。 

第 一 组 密 文 的 解密 为 (1570)”mod3337=688=x。 类 似 地 可 解 出 其 他 各 组 密 文 。 

RSA 加 密实 质 上 是 一 种 Z, > Z, 上 的 单 表 代 换 。 BE n= pp 和 合法 明文 xe Z, 其 
相应 密 文 y=x* modne Z, o HF xax, VA yzy o Z, 中 的 任 一 元 素 (0, pi pr RIP) 
是 一 个 明文 ， 但 它 也 是 与 某 个 明文 相对 应 的 一 个 密 文 。 因 此 ，RSA 是 Z, 一 ,的 一 种 单 
表 代 换 密码 ， 关 键 在 于 n 极 大 时 在 不 知道 陷 门 信息 下 极 难 确定 这 种 对 应 关系 ， 而 用 模 指 
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数 算法 又 易于 实现 一 种 给 定 的 代 换 。 正 是 因为 这 种 对 应 性 ， 使 RSA 不 仅 可 以 用 于 加 密 ， 
也 可 以 用 于 数字 签名 。 


5.2.2 RSA 的 安全 性 


1. 分 解 模 数 n 

在 理论 上 ，RSA 的 安全 性 取决 于 模 n 分 解 的 困难 性 ， 但 数学 上 至 今 还 未 证 明 分 解 模 
就 是 攻击 RSA 的 最 佳 方法 ， 也 未 证 明 分 解 大 整数 就 是 NP 问题 ， 可 能 有 尚未 发 现 的 多 项 
式 时 间 分 解 算法 。 人 们 完全 可 以 设想 有 另外 的 途径 破译 RSA， 如 求解 密 指 数 4 或 找到 
(p -DCz -了 ) 等 。 但 这 些 途径 都 不 比分 解 n 更 容易 。 甚 至 有 文献 [Alexi 等 1988] 曾 揭示 ， 
从 RSA 加 密 的 密 文 恢复 某 些 位 的 困难 性 也 和 恢复 整 组 明文 一 样 困难 。 

当前 的 技术 进展 使 分 解 算法 和 计算 能 力 在 不 断 提 高 ， 计 算 所 需 的 硬件 费用 在 不 断 下 
降 。110 位 十 进 制 数 字 早 已 能 分 解 。Rivest 等 最 初 悬赏 3100 的 RSA-129， 已 由 包括 5 大 
洲 43 个 国家 六 百 多 人 参加 。 人 们 通过 Intemet, H 1600 台 计 算 机 同时 产生 820 条 指令 数 
据 ， 耗 时 8 个 月 ， 于 1994 年 4 月 2 日 利用 二 次 得 法 分 解 出 为 64 位 和 65 位 的 两 个 因子 ， 
原来 估计 要 用 4 亿 亿 年 。 所 给 密 文 的 译文 为 “这 些 魔 文 是 容易 受惊 的 鱼 鹰 ”。 这 是 有 史 以 
来 最 大 规模 的 数学 运算 。RSA-130 于 1996 年 4 月 10 日 利用 数 域 得 法 分 解 出 来 ， 目 前 正 
在 向 更 大 的 数 ， 特 别 是 512b RSA, Bil RSA-154 冲击 [Cowie 等 1996]。 表 5-1 给 出 了 采 
用 广义 数 域 第 分 解 不 同 长 度 RSA 公 钥 模 所 需 的 计算 机 资源 。 

表 5-1 采用 广义 域 筛 所 需 计 算 机 资源 


密 钥 长 b) 所 需 的 MIPS- 年 * 
116 (Blacknet 密 钥 ) 400 
129 5 000 
512 30 000 
768 200 000 000 
1024 300 000 000 000 
2048 300 000 000 000 000 000 000 


*: MIPS -年 指 以 每 秒 执行 1 000 000 条 指令 的 计算 机 运行 一 年 。 


表 5-2 为 采用 NSF 算法 破译 RSA 体制 与 用 穷 搜 索 密 钥 法 破译 单 钥 体制 的 等 价 密 钥 
长 度 。 


表 5-2 等 价 密 钥 长 度 


RSA 体制 
112b | 1792b 
2304b 


56b | 384b 


因此 ， 如 果 要 用 RSA， 需 要 采用 足够 大 的 整数 。512b (154 位 )、664b (200 位 ) 已 


有 实用 产品 。 也 有 人 想 用 1024b 的 模 。 若 以 每 秒 可 进行 100 万 步 的 计算 资源 分 解 664b 
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大 整数 ， 需 要 完成 10” 步 ， 即 要 用 1000 年 。 在 European Institute for System Security 
Workshop 上 ， 与 会 者 认为 1024b 模 在 今后 10 年 内 足够 安全 。Simmons 预测 150 位 数 将 
在 21 世纪 被 分 解 。 数 学 家 估计 分 解 x 十 10 位 数 的 困难 程度 约 为 分 解 x 的 10 倍 。 目 前 ， 
512b 模 ( 约 155 位 ) 在 短期 内 仍 十 分 安全 ， 但 大 素数 分 解 工作 在 WWW 上 的 大 协作 已 
构成 对 512b 模 RSA 的 严重 威胁 ， 很 快 可 能 要 采用 768b 甚至 1024b 的 模 。 

大 整数 分 解 算 法 的 研究 是 当前 数论 和 密码 理论 研究 的 一 个 重要 课题 ， 可 参阅 相关 文 
献 [Adleman 1991; Bressoud 1989; Buhler 等 1993; Coppersmith 1993; Denny 等 1994; 
Dobbertin 1996; Lenstra 1987; Montgomery 1987; Pomerance 1990, 1994; Silverman 1987; 
van Oorschot 1992]. 


2. 其 他 途径 
An RERE pm, WITRE p. po AN 
n-gn)+1= p,p,- (p, -D(p, -1)+1= p, + p, 


而 
Ai? —4n = p,—p, 
但 已 经 证 明 ， 求 g() HARES FAE n 的 困难 性 。 
M n Rd BENFA no 


目前 尚 不 知道 是 否 存在 一 种 无 须 借助 于 分 解 n 的 攻击 法 , 也 未 能 证 明 破 译 RSA 的 任 
何方 法 都 等 价 于 大 整数 分 解 问题 。 


3. 和 迭代 攻击 法 

Simmons 和 Norris 曾 提 出 迭代 或 循环 攻击 法 。 例 如 ， 给 定 一 RSA 的 参数 为 
(n,e.y)= (35,17,， 可 由 名 =y=3 i y, =3" =33m0d35.. HH y it Hy, =y = 
3mod35 ， 从 而 得 到 明文 x= 芒 =33mod35 。 一 般 对 明文 x 加 密 多 次 ， 直 到 再 现 x Aik. 
Rivest 证 明 [Rivest 1978], 4 p,-1 fl p, -1 中 含有 大 素数 因子 ， 且 n 足够 大 时 ， 这 种 攻击 
法 成 功 的 概率 趋 于 0。 

4. 选择 密 文 攻击 

CD 消息 破译 。 攻 击 者 收集 用 户 4 以 公 钥 e 加 密 的 密 文 y=x* modn ， 并 想 分 析出 明 
文 x*。 选 随机 数 +<n， 计 算 y =r*modn ， 这 意味 r=y modn. tH y, = y, x ymodn o 
&t=r'modn, IWilt=y,4 modn。 

如 果 攻 击 者 请 4 对 消息 进行 解密 ， 得 到 = 加 modmr 。 攻 击 者 计算 
tsmodn = y,* x yf modn =," x yf x y’ modn = y? modn 二 x， 得 到 了 明文 。 

(2) 骗取 仲裁 签名 。 在 有 仲裁 情况 下 ，4 有 一 个 文件 要 求 仲裁 ， 可 先 将 其 送 给 仲裁 也 
T V RSA 的 密 钥 进行 签署 后 回 送 给 4〈 未 用 单 向 Hash 函数 ， 只 以 密 钥 对 整个 消息 加 密 )。 

攻击 者 有 一 个 消息 要 了 签署 , 但 了 并 不 情愿 给 他 签 , 因为 该 消息 可 能 有 伪造 的 时 戳 ， 
也 可 能 是 来 自 其 他 人 的 消息 。 但 攻击 者 可 用 下 述 方法 骗取 了 的 签名 。 令 攻击 者 的 消息 为 
x， 他 首先 任意 选 一 个 数 W， 计 算 y>= Nemodm (Ce 是 了 的 公 钥 )， 然 后 计算 M = yx ， 送 给 
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T, 了 将 签名 的 结果 M modn 送 给 攻击 者 , WA (M4 modn)N* modn =(yx)* * N” modn = 
xiy! e N*modn=x‘NN™ modn =x" modn， 此 为 了 对 x 的 签名 。 

所 以 能 有 这 类 攻击 是 因为 指数 运算 保持 了 输入 的 乘法 结构 。 

G) 骗取 用 户 签名 。 攻 击 者 可 构造 两 条 消息 x Alx,, BHAA x, =x, xx, mod o 

首先 他 可 得 到 用 户 A 对 x 和 x% HES x mod Fl xt modan, WAH 
oe modn = (x4 mod) * (x? modn)modn 。 

因此 ， 任 何 时 候 不 要 为 不 相识 的 人 签署 随机 性 文件 ， 最 好 先 采 用 单 向 Hash 函数 。 
ISO 9796 的 分 组 格式 可 以 防止 这 类 攻击 。 

有 关 选 择 密 文 攻击 RSA 体制 的 研究 可 参阅 相关 文献 。 

5. 公用 模 攻击 

若 很 多 人 共用 同一 模 数 n, 各 自选 择 不 同 的 e 和 d, 这 样 实现 当然 简单 , 但 是 不 安全 。 
若 明文 以 两 个 不 同 的 密 钥 加 密 ， 在 共用 同一 个 模 下 ， 若 两 个 密 钥 互 素 〈 一 般 如 此 )， 则 可 
用 任 一 密 钥 恢复 明文 [Simmons 1983]. 

设 a 和 e 是 两 个 互 素 的 不 同 密 铀 ， 共 用 模 为 mn， 对 同一 明文 x 加 密 得 
y= modn y, =x modn。 分 析 者 知道 n,e,e,,y 和 y,。 因 为 (e,e,)=1, MWA r tert 
s*e=l. ier 为 负数 ， 由 Euclidean 算法 可 计算 

OT)” * y} =xmodn 

还 有 两 种 攻击 共用 模 RSA 的 方法 : 

(1) 用 概率 方法 可 分 解 n。 

(2) 用 确定 性 算法 可 计算 某 一 用 户 密 钥 而 不 需要 分 解 n。 详 细 内 容 可 参阅 [Moore 
1988; Simmons 1983]。 


6. 低 加 密 指 数 攻击 
采用 小 的 e 可 以 加 快 加 密 和 验证 签名 的 速度 ， 且 所 需 的 存储 密 钥 空 间 小 ， 但 若 加 密 
密 钥 e 选 择 得 太 小 ， 则 容易 受到 攻击 。 
令 网 络 中 的 3 个 用 户 的 加 密 密 钥 e Hi 3, MADARI., mo noo B—-SAP 
将 消息 x 传 给 3 个 用 户 的 密 文 分 别 为 
y =x modna x<n, 
Y= a modn, x<n, 
y =X modn x<n, 
-Btn ns n ER (否则 ， 可 求 出 公 因 子 而 降低 安全 性 )， 利 用 中 国 剩余 定理 ， 
AM yo y» v3 RH 
y=x? mod (n, m n) 
由 x<m, x<m, x<n3, 8 x< n m ` n, WA iy =x ” 
A x 后 加 时 玲 
yı=(2 x+) mod m 
EVA x+h)? mod m 


132 


ns 第 5 章 双 (A) 钥 密码 体制 


ys=(2' xtt3)° mod ns 

1 是 tt，b，& 的 二 元 表示 位 数 ， 可 防止 这 类 攻击 。Hastad 将 上 述 攻 击 扩展 为 大 个 用 户 ， 
即将 相同 的 消息 x 传 给 个 人 ， 只 要 >ele+1)/2， 采 用 低 指 数 也 可 有 效 攻 击 。 因 此 ， 
为 抗击 这 种 攻击 e 必须 选 得 足够 大 。 一 般 e 选 为 16 位 素数 时 ， 既 可 兼顾 快速 加 密 ， 又 可 
防止 这 类 攻击 。 

对 短 的 消息 ， 可 用 随机 数字 填充 ， 以 防止 低 加 密 指 数 攻 击 。 

dK) tH AT. Wiener 指出 ,对 e<n, 而 4<n/4, 则 可 以 攻破 这 类 RSA 体制 -Coppersmith 
对 RSA 的 低 指数 攻击 做 了 进一步 研究 。 


7. 定时 攻击 法 

定时 (Timing) 攻击 法 由 P. Kocher 提出 ， 利 用 测定 RSA 解密 所 进行 的 模 指 数 运算 
的 时 间 来 估计 解密 指数 4， 然 后 再 精确 定 出 d 的 取 值 。 另 外 还 可 采用 盲 化 技术 ， 即 首先 
将 数据 进行 盲 化 运算 ， 再 进行 加 密 运算 ， 而 后 做 去 盲 运算 。 这 样 做 虽然 不 能 使 解密 运算 
时 间 保 持 不 变 ， 但 计算 时 间 被 随机 化 而 难于 推测 解密 所 进行 的 指数 运算 的 时 间 [Unruh 
1996]。 


8. 消息 隐匿 问题 

HHX x, 0<x<n-1, KH RSA 体制 加 密 ， 可 能 出 现 x°=x mod mn， 致使 消息 暴露 。 
这 是 明文 在 RSA 加 密 下 的 不 动 点 .总 有 一 些 不 动 点 , 如 x=0, 1 和 n-1。 一 般 有 [1+gcd(e-1， 
p-1)] ° [ 1l+gcd(e-1，gq-1)] 个 不 动 点 。 由 于 e-1，p-1 和 g-1 都 是 偶数 ， 所 以 不 动 点 至 少 
为 9 个。 一般 来 说 ， 不 动 点 个 数 相 当 少 ， 可 以 忽略 不 计 [Blakley 1979]. 

Kaliski 和 Robshaw 曾 对 RSA 的 安全 性 进行 全 面 评 述 。 有 关 RSA 算法 用 于 认证 协议 
的 安全 性 研究 可 参阅 [Coppersmith 等 1996; Franklin 等 1995]. 


5.2.3 RSA 的 参数 选择 
综 上 所 述 , 为 了 保证 RSA 体制 的 安全 ， 必 须 仔 细 选 择 各 参数 。 有 关 大 素数 的 求法 可 
参阅 其 他 文献 。 


1. n 的 确定 

A) 12=DiXP，Pi 5 p 必须 为 强 素数 (Strong Prime)。 强 素数 p 的 条 件 如 下 : 

© 存在 两 个 大 素数 pi 和 p,, pil(p-1), psl(p 十 1)。 

2) 存在 4 个 大 素数 mm， Sir nA S25 使 站 Di 一 D， silQitl), n|(p21); S2|(Q2+1)> 
Fro ro 8 和 s 为 三 级 素数 (Level-3); pi 和 疡 为 二 级 素数 。 


采用 强 素数 的 理由 如 下 : HF p—1=[] ps» p ARE a 为 正 整 数 。 分 解 式 中 pB, 


B 为 已 知 的 一 个 小 整数 ， 则 存在 一 种 p 一 1 的 分 解法 ， 使 得 易于 分 解 n。 令 n=pq, H pl 
满足 上 述 条 件 ， Pi<B。 令 aza; Fly 2y 75. be 即 可 构造 
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: 
R=] [æ (5-18) 
isl 


显然 @ 一 DR。 由 费 尔 马 定理 有 21 mod pe 4 =x mod ne # x =] 则 选 3 代 2， 
直到 出 现 六 1。 此 时 ， 由 GCD(x 一 1，n)=p， 就 得 到 n 的 分 解 因子 p Fl gq。 
例 5-3 n=pg=118 829， 选 B-14，oE1， 由 加 法 链 算法 
R=[]p, =2x3x5x7x11x13 = 30030 


Pi<B 


H 27=103 935 mod 118 829。 由 欧 几 里 德 算 法 易 求 GCD(103 935-1, 118 529)=331， 从 而 
n=331X359。 这 是 由 于 331 一 1=2X3X5X11 为 小 素数 因子 之 积 。 
Williams 给 出 类 似 的 p 十 1 的 分 解 算法 。 
(2) pi 与 ps 之 差 要 大 。 若 pi 与 ps 之 差 很 小 ， 则 可 由 npp fiit@itp.)/2=n'", W 
由 (1 十 py)/2》-n=((p1-p2)/2)》。 上 式 右 边 为 小 的 平方 数 ， 可 以 试验 给 出 pi, p; 的 值 。 
例 5-4 n=164 009， 估 计 (i 十 pz)/2<405， 由 405”-n=16=4*:， 可 得 (pi 十 p;)/2=405， 
(p1-p2)/2=4, pı=409, ps=401。 
(3)pi 一 1 Spl 的 最 大 公 因 子 要 小 。 在 唯 密 文 攻击 下 , 设 破 译 者 截获 密 文 y=x* mod 
n。 破 译 者 做 下 述 递 推 计算 (Simmons 等 1977): 
yi=Vi1) mod n=(x*)' mod n 
# ei=1 mod g{n), WE v=@*)=x mod n, Æ izh, 则 由 此 攻击 法 易 得 明文 x。 由 Euler 
EHA, i= p-p.) Æ pl M pl 的 最 大 公 因子 小 , 则 i 值 大 ,如 二 p11)/2， 
此 攻击 法 难于 奏效 。 
(4) ps PEERK, WME n 分 解 在 计算 上 不 可 行 。 近 十 多 年 来 ， 大 整数 分 解 因子 
的 进展 如 表 5-3 所 示 。 
表 5-3 大 整数 分 解 因子 的 进展 


© È 分 解数 〈 十 进 制 ) 位 数 机 型 时 fa] 
1983 47 HP PC 3 天 
1983 69 Cray 大 型 计算 机 32h 
1988 90 25 个 Sun 工作 站 数 周 
1989 95 1 MZP 处 理 器 145 
1989 105 八 十 多 个 工作 站 数 周 
1993 110 128X128 处 理 器 (0.2MIPS) 1 个 月 
1994 129 1600 部 计算 机 8 个 月 


2. e 的 选取 原则 

(e, Anl 的 条 件 易于 满足 ， 因 为 两 个 随机 数 为 互 素 的 概率 约 为 3/5。 e 小 时 ， 加 密 
速度 快 ， 有 学 者 [Knuth 198la, 1981b; Shamir 1984] 曾 建议 采用 e=3。 但 e 太 小 则 存在 一 
些 问题 [Coppersmith 等 1996]。 

(1) e 不 可 过 小 。 

O Fer, x), y=x*modn, 4x°<n, WRB, Hy 直接 开 e 次 方 可 求 x。 
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© 易 遭 低 指数 攻击 。 
(2) 选 e 在 mod gln) 中 的 阶 数 ， 即 i，e'=1mod gn), i 达到 (pi-1)(p;-1)/2。 


3. d 的 选择 

e 选 定 后 可 用 Euclidean 算法 在 多 项 式 时间 内 求 出 do 要 大 于 mn“。4 小 ， 签 名 和 解 
密 运 算 快 ， 这 在 IC 卡 中 尤为 重要 (复杂 的 加 密 和 验证 签名 可 由 主机 来 做 )。 类 似 于 加 密 
下 的 情况 ，4 不 能 太 小 ， 和 否则 由 已 知 明文 攻击 ， 构 造 〈 和 迭代 地 做 ) y=x* mod mn， 再 猜测 q 
i, fix? modn, HERE x“=1 mod n 是 d (ARTS. Wiener 给 出 对 小 q 的 系统 攻击 
法 ， 证 明了 当 4 长 度 小 于 的 1/4 时， 由 连 分 式 算法 ， 可 在 多 项 式 时 间 内 求 出 4 值 。 至 
于 这 是 否 可 推广 至 112， 目 前 还 不 知道 。 


5.2.4 RSA 体制 应 用 中 的 其 他 问题 


a) 不 可 用 公共 模 。 一 个 网 ， 由 一 个 密 钥 产生 中 心 (Key Generation Center, KGC) 
采用 一 个 公共 模 ， 分 发 多 对 密 钥 ， 并 公布 相应 公 钥 e:， 这 当然 使 密 钥 管理 简化 ， 存 储 空 
间 小 ， 且 无 重新 分 组 〈Reblocking) 问题 ， 但 如 前 所 述 ， 它 在 安全 上 会 带 来 问题 。 

(2) WASCHHBER AT REA. WCBAR AREA, DMEF AIBC, BEAM AADC 
无 异 于 完全 随机 等 概 。Simmons 和 Holdridge 利用 先 验 不 等 概 性 , 攻破 一 语音 加 密 系统 ， 
明文 有 23?<4.3X10?， 但 焙 值 低 ， 仅 为 16 一 18b， 用 预先 选 定 的 105 ( 约 2'7) 明 密 文 对 ， 
将 收 到 的 密 文 与 存储 的 数 比 较 ， 符 合 者 则 接收 ， 否 则 弃 之 ， 并 还 原 录音 ， 则 有 90 % 以 上 
的 原始 语音 可 还 原 。 

可 在 明文 分 组 中 加 上 随机 乱 数 得 

M'=2'M+ r 
式 中 ,1 是 + 的 二 元 表示 位 数 。 解 得 M' 后 除去 后 t 位 乱 数 1 即 可 。 
(3) 用 于 签名 时 ， 要 采用 Hash 函数 。 


5.2.5 RSA 的 实现 


硬件 实现 RSA 的 最 快速 度 也 仅 为 DES 的 1/1000, 512b 模 下 的 VLSI 硬件 实现 只 达 
64kb/s。 目 前 计划 开发 512b RSA， 达 1Mb/s 的 芯片 。1024b RSA 加 密 芯 片 也 在 开发 中 。 
人 们 在 努力 将 RSA 体制 用 于 灵巧 卡 技术 中 。 有 关 RSA 的 硬件 实现 的 研制 和 一 些 产品 ， 
可 参阅 [Schneier 1996]. 508b RSA 的 硬件 实现 的 速率 可 达 225kb/s。 

软件 实现 RSA 的 速度 只 为 DES 的 软件 实现 的 11100， 在 速度 上 RSA 无 法 与 对 称 密 
钥 体制 相 比 ， 因 而 RSA 体制 多 只 用 于 密 钥 交换 和 认证 。512b RSA 的 软件 实现 的 速率 可 
达 11kb/s. 

如 果 适 当选 择 RSA 的 参数 , 可 以 大 大 加 快速 度 。 例 如 , 选 e 为 3, 17 或 65 537(2:+1) 
的 二 进 制 表示 式 中 都 只 有 两 个 1， 大 大 减少 了 运算 量 。X. 509 建议 用 65 537, PEM 建议 
用 3 [RFC1423 1993], PKCS#1 建议 用 65 537[RSA Lab 1993]. 在 消息 后 填充 随机 数字 时 ， 
不 会 出 现任 何 安全 问题 。 

中 国 剩余 定理 可 以 用 来 加 速 密 钥 运算 [Rabin 1979]. 


135 


FE 网 络 安全 一 一 技术 与 实践 (第 2 版 ) me 


53 ElGamal 密码 体制 


ElGamal 密码 体制 由 ElGamal 提出 [ElGamal 1984，1985]， 它 是 一 种 基于 离散 对 数 问 
题 的 双 钥 密码 体制 ， 既 可 用 于 加 密 ， 又 可 用 于 签名 。 有 关 离 散 对 数 的 计算 可 参阅 相关 文 
献 [Wang 等 1999]. 


5.3.1 ZAER 

令 g 是 一 个 有 pp 个 元 素 的 有 限 域 , p 是 一 个 素数 ， 令 g EZ," (Z PRE 0 元 素 ) 
中 的 一 个 本 原 元 或 其 生成 元 。 明 文集 M 为 乙 ”， 密 文集 C 为 ZXZ 。 

AH: Eg ep HERT), HHAH 


B=g" modp (5-19) 
密 钥 : a<p 
5.3.2 ”加 解密 
选择 随机 数 keZ,1， 且 (kp 一 1)= 1， 计 算 : 
yi=g*modp 〈 随 机 数 上 被 加 密 ) (5-20) 
yo=mB* mod p 〈 明 文 被 随机 数 和 公 钥 BP 加 密 》) (5-21) 


其 中 m 是 要 发 送 的 明文 组 。 密 文 由 上 述 两 部 分 yo y AKR MEX c= yil 

特点 : 密 文 由 明文 和 所 选 随机 数 大 来 定 ， 因 而 是 非 确定 性 加 密 ， 一 般 称 之 为 随机 化 
(Randomized) 加 密 ， 对 同一 明文 由 于 不 同时 刻 的 随机 数 大 不 同 而 给 出 不 同 的 密 文 。 其 代 
价 是 使 数据 扩展 一 倍 。 

解密 : 收 到 密 文 组 c 后 ， 计 算 

m = y2/y,°= mB*/g*= mg/g" mod p (5-22) 

例 5-5 i p= 2579, g=2, a=765, HHA =g“ mod 2579=949。 若 明文 组 为 
m = 1299， 今 选 随机 数 上 = 853, TILH y, = 2°° mod 2579 = 435 & y2=1299 X 949° mod 
2579 = 2396. Mc = (435, 2396). ARB HH c 可 算出 消息 组 M = 2396/435) mod 
2579 = 1299. 


53.3 ”安全 性 


本 体制 基于 Za. 中 有 限 群 上 的 离散 对 数 的 困难 性 。Haber 和 Lenstra 曾 指出 mod p Æ 
成 的 离散 对 数 密码 可 能 存在 陷 门 ， 有 些 “ 弱 ”素数 p 下 的 离散 对 数 较 容易 求解 。 但 文献 
[Gordon 1992] 中 已 证 明 ， 不 难 发 现 这 类 陷 门 从 而 可 以 避免 选用 这 类 素数 。 

有 关 随 机 化 加 密 的 统一 论述 可 参阅 相关 文献 。McCurely 将 ElGamal 方案 推广 到 Zi 
上 的 单元 群 ， 并 证 明 其 破译 难度 至 少 相当 于 分 解 w， 破 译 者 即使 知道 了 on 的 分 解 ， 也 还 
要 解 模 ”的 因子 的 Diffie-Hellman 问题 [Menezes 等 1997]。 
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54 ”椭圆 曲线 密码 体制 


MAHR (Elliptic Curve) 作为 代数 几何 中 的 重要 问题 已 有 一 百 多 年 的 研究 历史 ， 
积累 了 大 量 的 研究 文献 ， 但 直到 1985 年 ，N. Koblitz 和 V. Miller 才 独 立 将 其 引入 密码 学 
中 ， 成 为 构造 双 钥 密码 体制 的 一 个 有 力 工具 [区 oblitz 1987, Miller 1985]。 利 用 有 限 域 
GF(2”) 上 的 椭圆 曲线 点 集 所 构成 的 群 上 定义 的 离散 对 数 系统 ， 可 以 构造 出 基于 有 限 域 上 
离散 对 数 的 一 些 如 Diffie-Hellman, ElGamal, Schnorr, DSA 等 双 钥 体制 。 对 这 种 椭圆 曲 
线 离散 对 数 密码 体制 (ECDLC) 安全 性 的 研究 已 进行 了 十 余年 ， 尚 未 发 现 明显 的 弱点 。 
它 有 可 能 以 更 小 规模 的 软 、 硬 件 实现 有 限 域 上 具有 相同 安全 性 的 同类 体制 ， 具 体内 容 可 
参阅 相关 文献 [Menezes 等 1993a; Koblitz 1987; Demytko 1993; Koyama 等 1991]。 

目前 ， 大 多 数 使 用 公 钥 密码 学 进行 加 密 和 数字 签名 的 产品 和 标准 都 使 用 了 RSA 算 
法 。 为 了 保证 RSA 的 安全 性 ， 近 年 来 所 采用 的 密 钥 长 度 不 断 增加 ， 这 直接 导致 RSA 计 
算 量 的 增加 ， 对 于 其 应 用 造成 影响 。 最 近 ， 椭 圆 曲 线 密码 (ECC) 对 RSA 的 应 用 提出 了 
巨大 挑战 。 在 公 钥 密码 的 标准 化 过 程 中 ，IEEE P1363 标准 已 经 考虑 使 用 ECC。 

与 RSA 相 比 ，ECC 的 主要 优点 是 可 以 使 用 比 RSA 更 短 的 密 钥 获得 相同 水 平 的 安全 
性 ， 其 计算 量 大 大 减少 。 另 一 方面 ， 虽然 ECC 的 理论 已 经 成 熟 ， 但 直到 最 近 才 出 现 这 方 
面 的 产品 ， 对 ECC 的 密码 分 析 刚 刚 起 步 ， 因 此 ECC 的 可 信 度 还 有 待 进一步 验证 。 

ECC HE RSA 更 难 描述 。 关 于 ECC 的 完整 数学 描述 已 经 超出 本 书 的 范围 。 


5.4.1 实数 域 上 的 椭圆 曲线 


椭圆 曲线 并 不 是 椭圆 。 之 所 以 称 为 椭圆 曲线 ， 是 因为 它们 与 计算 椭圆 周 长 的 方程 相 
Wh, tH 3 次 方程 来 表示 。 一 般 来 说 ， 椭 圆 曲 线 的 3 次 方程 形式 为 
y +axy+by=x +c +dx+e 
HH, a, b, c, d 和 e 是 实数 ，x My 在 实数 上 取 值 。 事 实 上 ， 将 方程 式 限制 为 下 述 形 
式 就 已 经 足够 : 
y=xtaxtb (5-23) 
因为 方程 中 的 指数 最 高 为 3， 所 以 称 为 3 次 方程 。 椭 圆 曲 线 的 定义 中 还 包含 一 个 无 
穷 远 点 或 叫做 零点 的 元 素 ， 记 为 0， 这 个 概念 将 在 后 面 讨论 。 为 了 画 出 该 曲线 ， 需 要 
计算 : 
ya Vx +ax+b 
对 于 给 定 的 a 和 b， 以 及 x 的 每 个 取 值 ， 需 画 出 ? 的 正 值 和 负 值 ， 这 样 每 一 曲线 都 
关于 y=0 对 称 。 图 5-1 给 出 了 椭圆 曲线 的 两 个 例子 。 
从 图 中 可 见 ， 椭 圆 曲 线 关于 y=0 对 称 。 
现在 考虑 满足 式 (5-23) 的 所 有 点 (x,y) 和 元 素 O 所 组 成 的 点 集 Ela, b)。(a,5) 的 
值 不 同 ， 则 相应 的 集合 Ela, 5b) 也 不 同 。 图 5-1 中 的 两 条 曲线 可 以 分 别 用 集合 E(-1, 0) 和 
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2410123 4% 
(a) yx (b) Paxttxt] 
图 5-1 椭圆 曲线 的 两 个 例子 


E(1, 1) 表 示 。 

可 以 证 明 : 只 要 +ax+b 无 重复 因子 ， 则 可 基于 集合 Ea, b) 定 义 一 个 群 。 这 等 价 
于 条 件 : 

4a? +27b? #0 (5-24) 

下 面 在 Ela, 5) 上 定义 加 法 运算 ， 用 “+” 表 示 ， 其 中 a 和 4b 满足 式 (5-24)。 用 几何 
术语 可 这 样 定义 加 法 的 运算 规则 : 如 果 椭 圆 曲线 上 的 3 个 点 位 于 同一 直线 上 ， 那 么 它们 
的 和 为 0。 进 一 步 可 定义 椭圆 曲线 上 的 加 法 的 运算 规则 如 下 : 

(1) O 是 加 法 的 单位 元 。 这 样 有 O = -O; 对 于 椭圆 曲线 上 的 任意 一 点 P,， 有 P+0= 
Po 

(2) 设 已 =(x,y) 是 椭圆 曲线 上 的 一 点 (图 5-1), 它 的 加 法 逆 元 定义 为 P= -Pj= (x 
V)eo 

这 是 因为 P 和 P 的 连 线 延 长 到 无 穷 远 时 ， 得 到 椭圆 曲线 上 的 另 一 点 O， 即 椭圆 曲 
线 上 的 3 点 Pl、P; 和 0O 共 线 ， 所 以 Pil+P,+O=0O, Pi+P;=O,， BI P= -P 

G) 设 O 和 RR 是 椭圆 曲线 上 x 坐标 不 同 的 两 点 ，O + R 的 定义 如 下 : 画 一 条 通过 O 
和 R 的 直线 与 椭圆 曲线 交 于 已 〈 这 一 交点 是 唯一 的 ， 除 非 所 做 的 直线 是 O 点 或 R 点 的 
切线 ， 此 时 分 别 取 P;=O Fl P\=R). H O+R+P,=O 得 O+R= -Pi。 

(4) AO 的 倍数 定义 如 下 : 在 2 点 做 椭圆 曲线 的 一 条 切线 ， 设 切线 与 椭圆 曲线 交 于 
点 S， 定 义 20 = QO +Q= -S$。 类 似 地 ， 可 以 定义 30=O+O+O+…， 等 等 。 

以 上 定义 的 加 法 具有 加 法 运算 的 一 般 性 质 ， 如 交换 律 和 结合 律 等 。 


5.4.2 有限 域 Z 上 的 椭圆 曲线 


椭圆 曲线 密码 体制 使 用 的 是 变 元 和 系数 均 为 有 限 域 中 元 素 的 椭圆 曲线 。 密 码 应 用 中 
所 使 用 的 两 类 椭圆 曲线 是 定义 在 有 限 域 马上 的 素 曲线 (Prime Curves) 和 在 GF(2”) 上 构 
造 的 二 元 曲线 。 文 献 [Fermandes 1999] 指 出 ， 因 为 不 需要 二 元 曲线 所 要 求 的 位 混淆 (Bit 
Fiddling) 运算 ， 软 件 应 用 最 好 使 用 素 曲线 ， 而 对 于 硬件 应 用 ， 最 好 使 用 二 元 曲线 ， 它 可 
以 用 非常 少 的 门 电路 来 实现 快速 且 功能 强大 的 ECC 密码 体制 。 本 节 主 要 讨论 有 限 域 上 的 
椭圆 曲线 ， 第 5.4.3 节 将 讨论 GF(2”) 上 构造 的 椭圆 曲线 。 

对 于 有 限 域 上 的 椭圆 曲线 ， 使 用 变 元 和 系数 均 在 0~p-1 的 整数 集 上 取 值 的 3 次 
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方程 ， 其 中 p 是 大 素数 ， 所 执行 的 计算 均 是 模 p 运算 。 与 关于 实数 时 的 情形 一 样 ， 限 制 
方程 具有 式 (5-23) 的 形式 ， 但 此 处 系数 和 变 元 均 限 制 在 ZF: 
y mod p = Q? + ax + b) mod p (5-25) 
例 5-6 a=1, b=1, x=9, y=7, p=23 时 可 满足 式 (5-24): 
F mod 23 = (9 +9 +1) mod 23 
49 mod 23 = 739 mod 23 
3=3 
下 面 考虑 所 有 满足 式 〈5-25) 的 整数 对 (x，y) 和 无 穷 远 点 O 组 成 的 集合 Ea, b)o 
例 S-7 取 p=23。 考虑 椭圆 曲线 方程 六 =x” +x+1， 这 里 a=b=1。 
注意 ， 该 方程 与 图 5-1 (b) 中 的 方程 是 相同 的 。 对 Es3(1，1)， 只 关心 满足 模 p 方程 
的 ， 从 (0,0) 到 (pl, pl) 的 象限 中 的 非 负 整 数 。 表 5-4 中 列 出 了 若干 点 〈 除 了 元 点 
O 之 外 )， 这 些 点 是 已 3(1, 1) 的 一 部 分 。 


表 5-4 椭圆 曲线 Ez (1, 1) 上 的 点 
oD (2) 
0 25 a 
a (3,19 
19) ar) 
G w (7.20 
G (8,3 
oo) (8, 20) 
E) 08.5 
G19) 09, 19) 


可 以 证 明 ， 若 (x’ +ax+b)modp FERAT, WEFRE E, (a,b) 可 以 定义 一 个 有 
限 Abel 群 。 这 等 价 于 下 列 条 件 : 
(4a’ +27b°)mod p + Omod p (5-26) 
注意 : A (5-26) 和 式 (5-24) 具有 相同 的 形式 。 
E,(a, b) 上 的 加 法 运算 构造 与 定义 在 实数 上 的 椭圆 曲线 中 描述 的 代数 方法 是 一 致 的 。 
对 任何 点 P,Q CE, (a,b), A: 
(1) P+O=P. 
(2) Æ P=(xp.yp), Wl) P+(xp, -yp)=O。 点 (xp, jp) 是 P 的 负 元 ， 记 为 -P。 
例如 ， 对 于 £0, 1) 上 的 点 P=(13,7)， 有 -P=(13，-7)。 而 -7 mod 23 = 16， 因 此 ， 
-P=(13, 16)， 该 点 也 在 Es(1, 1) 上 。 
(3) 若 P=(xp,yp)，Q=(xe,yo)， 且 Pz#-Q， 则 R=P+QO=(xa,ya) 由 下 列 规 则 确 
定 : 
=A? —Xp —Xg)mod p 
Yr =(A(xp —Xg)—yp)modp 
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其 中 
(222 mod EP20 


Xg X, 
r. 
EE 2 


[2ta moa p 者 P=O@ 
2p 
(4) 乘法 定义 为 重复 相 加 。 如 4P=P+P+P+P。 例 如 , W Es(1,1) 上 的 P=(3,10)， 
Q=(9,7), HA 
A= (7? )moa23 = }moaas = (Z }moa23 =q] 
9-3 6 2 


Xp = (11° —3—9)mod 23 =109mod 23 =17 
Yr = (L 1(3—17) —10)mod 23 = —164 mod 23 = 20 
所 以 P+O=(17,20) 。 为 计算 2P， 首 先 求 
a -joa -( = Jmoa23-{ 1 )moa23=6 
2x10 20 4 
上 面 等 式 的 最 后 一 步 需 要 求 4 在 Z 中 的 乘法 逆 元 。 
Xp = (6 —3—3)mod 23 = 30mod 23 =7 
Yg =(6(3—7)—10) mod 23 = (-34) mod 23 = 12 
可 见 2P= (7, 12)。 
为 了 确定 各 种 椭圆 曲线 密码 的 安全 性 , 需要 知道 定义 在 椭圆 曲线 上 的 有 限 Abel 群 中 
点 的 个 数 。 在 有 限 群 Ela, 5b) 中 ， 点 的 个 数 的 范围 是 : 
p+l-2fp <NSP+1+2Yp 
所 以 ， 对 于 大 数 p，E,(a, 5b) 上 点 的 个 数 约 等 于 Z 中 元 素 的 个 数 。 
5.4.3 ”GF(2”") 上 的 椭圆 曲线 
有 限 域 GF(2”) 由 2” 个 元 素 及 定义 在 多 项 式 上 的 加 法 和 乘法 运算 组 成 。 给 定 m, X 
GF(2”) 上 的 椭圆 曲线 , 可 以 使 用 变 元 和 系数 均 在 GF(2”) 上 取 值 的 3 次 方程 , 且 利 用 GF(2”) 
中 的 算术 运算 规则 来 进行 计算 。 
可 以 证 明 ,GF(2”) 上 适合 用 于 椭圆 曲线 密码 的 3 次 方程 与 2Z, 上 的 3 次 方程 有 所 不 同 ， 
其 形式 如 下 : 
y+ =Ñ +ax +b (5-27) 
其 中 ， 变 元 x 和 y 以 及 系数 a 和 4b 是 GF(2”) 中 的 元 素 ， 且 所 有 计算 均 在 GF(2”) 中 进行 。 
考虑 由 满足 式 -2 的 所 有 整数 对 (x,y) 和 无 穷 远 点 组 成 的 集合 En (a,b) A 


以 证 明 ， 只 要 b0， 则 可 基于 集合 En (a,b) 定义 一 个 有 限 Abel 群 。 加 法 的 运算 规则 


如 下 : 
对 所 有 点 P, Q € En (a,b) 


(1) P+O=P. 
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(2) 车 P=(xp, yp) > WP+(p.xptyp)=O o A (Xp xp typ) Æ P HAT, WA-P. 
G) Æ P =(xp, Yp) > Q= (Xo Yo)’ HP#0, P#-O, WWR=P+O=(xg, Yr) 由 以 
下 规则 来 确定 : 
iA tAr tta 


Yr =A(Xp + Xp)+ Xg + Vp 


r -|2 =z) 
Xo +Xp 
(4) 车 P=(xp, Yp)» W R=2P= (xg, Vr) 由 下 列 规则 确定 : 


Xa =A +A+a 


其 中 ， 


Vr =x +(4 +1)x, 
其 中 ， 


Ye 
ge 


Xp 


A=k, 4 


5.4.4 ”椭圆 曲线 密码 


将 ECC 中 的 加 密 算法 运算 与 RSA 中 的 模 乘 运算 相对 应 ， 将 ECC 中 的 乘法 运算 与 
RSA 中 的 模 寡 运算 相对 应 。 要 建立 基于 椭圆 曲线 的 密码 体制 ， 则 需要 类 似 大 合 数 分 解 或 
求 离散 对 数 这 样 的 “数学 难题 ”。 

SBA O=kKP, HPO, Pek, (a,b) Ak<p. WFR k AP UE O 比较 容 
易 ， 而 对 给 定 的 O 和 P， 计 算 大 则 比较 困难 。 

例 5-8 由 方程 ymod23=(x + 9x +17) mod 23 所 定义 的 群 Ey3(9, 17)。 

VA P = (16, 5) 为 底 的 O = (4, 5) 的 离散 对 数 上 是 多 少 ? 穷 举 攻击 方法 通过 计算 P 的 倍 
数 来 寻找 CO。 这 样 : 

P=(16,5); 2P= (20,20); 3P= (14.14); 4P =(19,20); SP= (13.10); 6P= (7.3); 7P= 
(8.7); 8P= (12.17); 9P= (4.5) 

因为 9P=(4.5)=O， tbh P=(16, 5) IRK O = (4,5) 的 离散 对 数 上 = 9 。 在 实际 应 用 
中 大 的 值 非常 大 ， 从 而 使 穷 举 攻击 方法 不 可 行 。 

在 一 些 文献 中 ， 分 析 了 几 种 用 椭圆 曲线 实现 加 /解密 的 方法 。 本 节 将 介绍 一 种 最 简单 
的 方法 。 

首先 必须 把 要 发 送 的 消息 明文 m 编码 成 形式 为 (x, y) 的 点 Pm 并 对 点 P 进行 加 密 ， 
然后 对 密 文 进行 解密 。 注 意 ， 不 能 简单 地 将 消息 编码 成 点 的 x 坐标 或 y 坐标 ， 因 为 并 不 
是 所 有 的 坐标 都 在 E (a.b) 中 ， 如 表 5-4 所 示 。 将 消息 编码 成 点 Pa 的 方法 有 多 种 ， 这 里 
不 讨论 这 些 方法 。 但 需要 说 明 的 是 ， 确 实 存在 比较 直接 的 编码 方法 。 

首先 ， 挑 选 一 个 大 的 整数 g 以 及 式 (5-25) 或 式 (5-27) 中 的 椭圆 曲线 参数 a 和 b， 
这 里 q 为 素数 p 或 是 形 为 2” 的 整数 。 由 此 可 以 定义 出 点 的 椭圆 群 E (a,b); 其 次 ， 在 
E (a,b) 中 挑选 基点 G= (x%.2)，G 的 阶 为 一 个 非常 大 的 数 n。 椭圆 曲线 上 点 G 的 阶 n 是 
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使 得 zG=O 成 立 的 最 小 整数 。 

每 个 用 户 4 选择 一 个 私 钥 n, ， 并 产生 公 钥 P=n, xG 。 

E 4 要 将 消息 P, 加密 后 发 送 给 B， 则 A 随机 选择 一 个 正 整数 k， 并 产生 密 文 C,， 
该 密 文 是 一 个 点 对 : 


Cn = {kG P, + AP,} 
注意 ， 此 处 使 用 了 用 户 BRAH P, o 
E B 要 对 密 文 解密 ， 则 需要 用 第 二 个 点 减 去 第 一 个 点 与 B 的 私 钥 之 积 : 
Py +KP; —ns(kG)=P,+k(nsG)—ns(KO)=P, 

从 上 面 可 以 发 现 ，4 通过 将 kP, 与 Pr IRAR E Pr AARA ARDE k, 所 以 
即使 已 是 公 钥 ， 除 了 4 之 外 ,任何 人 均 不 能 除去 伪装 。 攻 击 者 想 要 恢复 明文 消息 ， 就 必 
须 通过 G 和 kG 求 出 k， 但 这 被 认为 是 非常 困难 的 。 

下 面 举例 说 明 椭圆 曲线 的 加 密 过 程 。 取 p=751。，E,(-1,188)， 即 其 椭圆 曲线 方程 为 
y’ =x -x+188, G=(0,376) .假定 4 要 将 已 经 编码 成 为 椭圆 曲线 上 的 点 P, = (562, 201) 
的 消息 发 送 给 ， 且 4 挑选 随机 数 k=386，B KAH P, =(201,5), WAA 

kG =386x (0, 376) = (676, 558) 
P, + kP, = (562,201) + 386 x (201,5) = (385,328) 

于 是 ，4 发 送 的 密 文 是 {(676,558), (385,328)} 。 


5.4.5 “椭圆 曲线 的 安全 性 


ECC 的 安全 性 建立 在 由 kP 和 PP 确定 大 的 困难 程度 之 上 ， 这 个 问题 称 为 椭圆 曲线 的 
离散 对 数 问题 。Pollard Rho 方法 是 已 知 求 椭圆 曲线 对 数 的 最 快 的 方法 。 表 5-5 对 这 种 方 
法 和 分 解 两 个 素数 之 积 的 一 般 数 域 筛 法 进行 了 比较 。 由 表 5-5 可 知 ，ECC 使 用 的 密 钥 比 
RSA 中 使 用 的 密 钥 要 短 得 多 ， 而 且 在 密 钥 长 度 相 同时 ，ECC 与 RSA 所 执行 的 计算 量 也 
差不多 [Jurisic 等 1997]。 因 此 ， 与 具有 同等 安全 性 的 RSA 相 比 ， 由 于 ECC 使 用 更 短 的 
密 铀 ， 所 以 ECC 所 需 的 计算 量 比 RSA 少 。 

表 5-5 ”椭圆 曲线 密码 和 RSA 在 计算 量 上 的 比较 
用 Pollard rho 方法 求 椭圆 曲线 对 数 使 用 一 般 数 域 筛 法 进行 整数 因子 分 解 
密 钥 长 度 b) 密 钥 长 度 (b) MIPS 年 
512 3x10* 
gazi 768 2x10° 


3x10" 


1x10" 
3x10" 
3x10” 
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5.4.6 ECC 的 实现 


美国 NeXT Computer 公司 已 开发 出 快速 椭圆 加 密 (FEE) 算法 ， 其 密 钥 为 容易 记忆 
的 字 串 。 加 拿 大 Certicom 公司 也 开发 出 可 实用 的 椭圆 曲线 密码 体制 (ECC) 的 集成 电路 
(155b 和 12 000 个 门 的 器 件 ) [Certicom 1996]。 该 电路 可 实现 高 效 加 密 、 数 字 签名 、 认 
证 和 密 钥 管理 等 。Certicom 公司 开发 的 产品 包括 : OCARDSECRETS, W PC 卡 信息 安 
全 模块 ， @FAXSECRETS， 是 独立 应 用 的 安全 传真 模块 @M*BIUS 可 集 入 Internet 或 
PNTS 访问 控制 的 安全 解决 方案 。 日 本 的 Mitsushita 公司 、 法 国 的 Thompson 公司 、 德 国 
的 Siemens 公司 和 加 拿 大 Waterloo 大 学 等 也 都 在 实现 这 一 体制 。 随 着 大 整数 分 解 和 并 行 
处 理 技术 的 进展 ， 当 前 采用 的 公 钥 体制 必须 进一步 增长 密 铀 ， 这 将 使 其 速度 更 慢 、 更 加 
复杂 。ECC 则 可 用 较 小 的 开销 (所 需 的 计算 量 、 存 储量 、 带 宽 、 软 件 和 硬件 实现 的 规模 
等 ) 和 时 延 〈 加 密 和 签名 速度 高 ) 实现 较 高 的 安全 性 ， 特 别 适 用 于 计算 能 力 和 集成 电路 
空间 受 限 (如 PC 卡 )、 带 宽 受 限 〈 如 无 线 通 信和 某 些 计 算 机 网 络 )， 以 及 要 求 高 速 实现 
的 情况 。 

Certicom 公司 对 ECC 和 RSA 进行 了 对 比 , 在 实现 相同 的 安全 性 下 , ECC 所 需 的 密 
钥 量 比 RSA 少 得 多 ， 如 表 5-6 所 示 。 其 中 “MIPS 年 ”表示 用 每 秒 完成 100 万 条 指令 的 
计算 机 所 需 工作 的 年 数 ，m 表示 ECC 的 密 钥 由 2m 点 构成 。 以 40MHz 的 钟 频 实 现 155b 
WY ECC, 每 秒 可 完成 40 000 次 椭圆 曲线 运算 ,其 速度 比 1024b 的 DSA 和 RSA 快 10 倍 。 


表 5-6 ECC 和 RSA 的 对 比 


BOC WERKIE m MIPS & 
160 1012 
320 1036 
600 1078 


1 200 120 000 10 168 


ECC 特别 适用 于 如 下 情况 : 

(1) 无 线 Modem 的 实现 。 对 分 组 交换 数据 网 提供 加 密 , 在 移动 通信 器 件 上 运行 4MHz 
的 68330 CPU, ECC 可 实现 快速 Diffie-Hellman 密 钥 交换 ， 并 使 密 钥 交换 占用 的 带宽 极 
小 化 ， 将 计算 时 间 从 大 于 60s 降 到 2s 以 下 。 

(2) Web 服务 器 的 实现 。 在 Web 服务 器 上 集中 进行 密码 计算 会 形成 瓶颈 ，Web 服务 
器 上 的 带宽 有 限 使 带宽 费用 高 。 采用 ECC 可 节省 计算 时 间 和 带宽 ， 且 通过 算法 的 协商 更 
易于 处 理 兼容 性 。 

(3) 集成 电路 卡 的 实现 。ECC 无 须 协 处 理 器 就 可 以 在 标准 卡 上 实现 快速 、 安 全 的 数 
字 签名 ， 这 是 RSA 体制 难以 做 到 的 。ECC 可 使 程序 代码 、 密 钥 、 证 书 的 存储 空间 极 小 
化 ， 数 据 帧 最 短 ， 便 于 实现 ， 大 大 降低 了 IC 卡 的 成 本 。 


5.4.7 ”当前 ECC 的 标准 化 工作 
IEEE, ISO 和 ANSI 等 标准 化 组 织 正在 着 手 制定 有 关 标 准 [Certicom 1996; Menezes 
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等 1996]. 


1. IEEE P1363 

椭圆 曲线 体制 已 被 纳入 IEEE 公 钥 密码 标准 P1363， 其 中 包括 加 密 、 签 名 、 密 钥 协 
议 机 制 等 。 该 标准 完全 支持 Z 和 Fy, 上 的 椭圆 曲线 体制 。 对 于 情况 ， 它 支持 任意 子 
SR Fa E Fy 的 多 项 式 基 和 正规 基 。 标 准 P1363 中 也 确定 了 离散 对 数 〈 素 数 模 下 整数 乘 
群 子 群 中 的 ) 和 RSA 的 加 密 和 签名 。 其 最 新 的 草案 可 从 Web 地 址 http://stdssbds.ieee. 
org/groups/ 1363/index.html 得 到 。 


2. ANSI X9 

椭圆 曲线 数字 签名 算法 (ECDSA) 标准 ANSI X9.62 是 X9F1 工作 组 提出 的 一 个 草 
案 。ECDSA 给 出 一 种 采用 椭圆 曲线 实现 的 数字 签名 算法 ， 它 类 似 于 NIST 的 数字 签名 算 
法 。ANSI X9.63 是 由 X9F1 中 的 一 个 新 的 工作 小 组 提出 的 椭圆 曲线 密 钥 协 商 和 传输 协议 
标准 。 它 提出 了 几 种 采用 椭圆 曲线 实现 的 密 钥 协商 和 密 钥 传输 的 方法 。 


3. ISO/IEC 
(ARBNMFEZ (Digital Signature with Appendix )) CD 14888-3 给 出 对 任意 长 的 
消息 实现 有 后 级 椭圆 曲线 数字 签名 算法 , 它 类 似 于 ElGamal, 特别 类 似 于 DSA 签名 算法 。 


4. AISO/IEC 

互联 网 工程 任务 组 (Internet Engineering Task Force，IETF) 提出 的 密 钥 确定 协议 
OAKLEY KEY 是 一 种 密 钥 协商 协议 ， 它 类 似 于 Diffie-Hellman 协议 。 不 同 的 组 ， 包 括 
F2155h 和 F2210 上 的 椭圆 曲线 , 都 可 以 采用 。 该 协议 草案 稿 可 从 Web 地 址 http://www.ietf. 
cnri.reston.va.us/ 得 到 。 

5. ATM 

异步 传输 模式 (ATM) 论坛 技术 委员 会 提出 的 ATM 的 安全 性 规范 草案 提出 了 ATM 
网 的 安全 机 制 所 提供 的 安全 业务 包括 机 密 性 、 认 证 性 、 数 据 的 完整 性 和 访问 控制 。 它 支 
持 各 种 体制 ， 包 括 对 称 体制 (如 DES)、 非 对 称 体制 (如 RSA〉 和 椭圆 曲线 体制 。 


5.4.8 ”椭圆 曲线 上 的 RSA 密码 体制 


有 文献 [Koyama 等 1991] 曾 提出 利用 Zz 上 的 一 类 特殊 的 椭圆 曲线 构造 类 似 于 RSA 的 
密码 体制 。Demytko 也 提出 类 似 方案 。Vanstone 和 Zuccherato[Vanstone 等 1997] 提 出 另 
一 种 方案 ,有关 这 类 方案 的 安全 性 分 析 , 可 参阅 相关 文献 [Kurosawa 等 1994; Kaliski 1997]. 


5.4.9 用 圆锥 曲线 构造 双 钥 密码 体制 


有 人 提出 用 圆锥 曲线 构造 双 钥 密码 体制 ， 但 由 于 圆锥 曲线 是 二 次 的 ， 已 证 明 存 在 亚 
指数 分 解 算法 ， 其 上 求 离散 对 数 的 困难 程度 等 价 于 F, 上 的 离散 对 数 。 

用 超 椭 圆 曲 线 构造 双 钥 体制 方法 可 参阅 相关 文献 [Koblitz 1989; Adleman 等 1994; 
Shizuya 1991]. 

ElGamal 算法 是 基于 GF(2”) 中 乘 群 上 定义 的 离散 对 数 。 这 一 算法 不 难 推广 到 任意 群 
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G 中 的 子 群 H 上 定义 的 离散 对 数 。 如 果 在 H 中 的 离散 对 数 问题 是 困难 问题 ， 则 可 将 
ElGamal 体制 推广 到 子 群 豆 上 ， 其 中 gsG, H H={g', i20}, BASH M=G， 密 文集 C= 
GXG， 随 机 数 keZim， 其 他 与 ElGamal 体制 一 样 。 特 别 强调 的 是 ， 在 有 限 域 上 椭圆 曲线 
的 点 集 所 构成 的 群 G 上 ， 也 可 定义 离散 对 数 。 当 所 用 参数 足够 大 时 ， 求 逆 在 计算 上 是 
不 可 行 的 。 这 就 为 构造 双 钥 密码 体制 提供 了 新 的 途径 。 

在 此 基础 上 构造 的 EIGamal 密码 体制 ， 其 数据 展 宽 系数 为 4， 另 外 在 椭圆 曲线 E 上 
产生 所 需 的 点 还 没有 方便 的 方法 ,在 安全 性 方面 , Menezes, Okamoto 和 Vanstone [Menezes 
等 1991] 指 出 应 避免 选用 超 奇异 (Supersingular) 曲线 ， 否 则 椭圆 曲线 群 上 的 离散 对 数 问 
题 退 化 为 有 限 域 低 次 扩 域 上 的 离散 对 数 问题 ， 从 而 能 在 多 项 式 时 间 上 可 解 。 他 们 还 指出 ， 
若 所 用 循环 子 群 的 阶 数 达 2”， 则 可 提供 足够 的 安全 性 。 

Menezes 和 Vanstone 曾 提出 另 一 种 有 效 的 方法 : 以 椭圆 曲线 作为 “掩蔽 ”明文 和 密 
文 可 以 是 域 中 (而 不 一 定 要 求 为 E 上 的 点 ) 任意 非 0 有 序 域 元 素 。 这 和 原来 的 ElGamal 
密码 体制 一 样 ， 因 而 这 一 体制 的 数据 扩展 系数 为 2[Menezes 1993; Okamoto 等 1994; 
Menezes 等 1993b] 。 

Buchman 和 William 提出 一 种 用 虚 二 次 数 域 群 构造 公 钥 密 码 ， 但 在 文献 [McCurley 
1990] 提 出 亚 指 数 时 间 计 算 离散 对 数 算法 后 已 无 实用 价值 。 


55 ”基于 身份 的 密码 体制 


5.5.1 引言 


1984 年 ，Shamir 提出 了 一 种 基于 身份 的 加 密 方 案 (Identity-Based Encryption, IBE) 
的 思想 , 并 征询 具体 的 实现 方案 , 方案 中 不 使 用 任何 证 书 ， 直 接 将 用 户 的 身份 作为 公 钥 ， 
以 此 来 简化 公 钥 基础 设施 (Public Key Infrastructure, PKI) 中 基于 证 书 的 密 钥 管 理 过 程 。 
例如 用 户 4 给 用 户 B 发 加 密 的 电子 邮件 ，B 的 邮件 地 址 是 bob@company.com, 4 只 要 将 
bob@company.com 作为 B 的 公开 钥 来 加 密 邮 件 即 可 。 当 Bob 收 到 加 密 的 邮件 后 , 他 与 一 
个 第 三 方 一 一 密 钥 服务 器 联系 ， 和 向 CA 证 明 自 己 身份 一 样 ，B 向 服务 器 证 明 自己 ， 并 
从 服务 器 获得 解密 用 的 秘密 钥 ， 再 解密 就 可 以 阅读 邮件 。 该 过 程 如 图 5-2 所 示 。 


FERAL "Poba@eompan.com” MEN p © B 向 服务 器 证 明 自己 S 
© 为 B 产 生 秘密 铀 > 


图 5-2 基于 身份 的 加 密 方案 示例 


与 现 有 的 安全 电子 邮件 相 比 ， 即 使 B 还 未 建立 他 的 公 钥 证 书 ，4 也 可 以 向 他 发 送 加 
密 的 邮件 。 因 此 这 种 方法 避免 了 公 钥 密码 体制 中 公 钥 证 书 从 生成 、 签 发 、 存 储 、 维 护 、 
更 新 、 撤 销 这 一 复杂 的 生命 周期 过 程 。 自 Shamir 提出 这 种 新 思想 后 ， 由 于 没有 找到 有 效 
的 实现 工具 ， 其 实现 一 直 是 一 个 公开 的 问题 。 直 到 2001 年 ，Dan Boneh 和 Matt Franklin 
获得 了 数学 上 的 突破 ， 提 出 了 第 一 个 实用 的 基于 身份 的 公 钥 加 密 方案 。 他 们 的 方案 使 用 
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椭圆 曲线 上 的 双 线性 映射 〈 称 为 Weil 配对 和 Tate 配对 )， 将 用 户 的 身份 映射 为 一 对 公开 
钥 / 秘 密 钥 对 。 双 线性 映射 是 满足 Pair (aX bY) =Pair (bX,aY) 的 映射 Pair， 其 中 a 和 4b 是 
整数 ,和 了 是 椭圆 曲线 上 的 点 。 方 案由 4 步 组 成 ， 简 单 描述 如 下 : 

(1) 初始 化 

密 钥 服 务 器 选取 一 条 椭圆 曲线 、 秘 密 整 数 s、 椭 圆 曲 线 上 的 一 点 P， 公 开 P 和 sP。 

(2) 加 密 

发 送 方 A 想 向 接收 方 B 发 送 消息 M， 首 先 将 B 的 身份 (如 bob@company.com) 经 
杂凑 函数 映射 到 椭圆 曲线 上 的 一 个 点 ， 记 为 Op ， 然 后 取 一 秘密 的 随机 数 rx， 计算 
k=Pair(rO,,sP), (EAINE A. BAIN AR E M) 和 xP 发 给 接收 方 B。 其 中 E 
是 一 单 钥 加 密 算法 。 

(3) 密 钥 产生 

接收 方 B 收 到 (M) 和 wxP 后 ， 向 密 钥 服务 器 提出 申请 ， 服 务 器 在 对 B 认证 后 ， 计 
H sOn 并 发 送 给 ，B 以 sw 作为 密 钥 。 

(4) 解密 

B 收 到 密 钥 后 ,计算 k=Pair(sQ@j,rP)， 使 用 上 及 EE 对 密 文 解密 。 由 于 映射 Pair 的 性 
质 ，B 计算 的 上 与 4 使 用 的 大 相等 。 其 他 人 不 知道 密 钥 sOp ， 所 以 无 法 得 到 。 


5.5.2” 双 线性 映射 和 双 线 性 D-H 假设 


本 节 将 用 Z, 代表 在 mod q 加 法 下 的 群 {0，1，…， g-1}。 对 于 阶 为 素数 的 群 G, FAG 
代表 集合 G- {O} ， 这 里 0 为 G 中 的 单位 元 素 。 用 Z’ 代表 正 整 数 集 。 
1. 双 线 性 映射 


设 4 是 一 大 素数 ，G, 和 G, 是 两 个 阶 为 4 HH, 其 上 的 运算 分 别称 为 加 法 和 乘法 。G, 
到 G, 的 双 线 性 映射 e:G xG 一 G,， 满 足下 面 的 性 质 : 

@ 双 线 性 。 如 果 对 任意 P.O,ReG 和 a,beZ， 有 elaP.b0) =4PQ”, 或 e(P+0， 
R)= e(P,R)，e(Q,R) 和 e(P,O+R)=e(P,QO)，e(P,R) ， 那 么 就 称 该 映射 为 双 线性 映射 。 

© 非 退 化 性 。 映 射 不 把 G xG 中 的 所 有 元 素 对 〈 即 序 偶 ) 映射 到 G, 中 的 单位 元 。 
由 于 G,，G, 都 是 阶 为 素数 的 群 ， 这 意味 着 : WR PEG 的 生成 元 ,那么 e(P,P) REG, 
的 生成 元 。 

© 可 计算 性 。 对 任意 的 P,O eG ， 存 在 一 个 有 效 算法 计算 e(P.O) 。 

Weil 配对 和 Tate 配对 是 满足 上 述 3 条 性 质 的 双 线性 映射 。 

2. MOV 规约 

G 中 的 离散 对 数 问题 是 指 已 知已 CsG, Racz., 使 得 O=aP。 已 知 这 是 一 个 困 
难 问题 ,然而 如 果 记 g =e(P,P),h=e(O,P), WH e 的 双 线 性 可 知 h=g”， 因 此 ,可 以 将 
G 中 的 离散 对 数 问题 归结 为 G, 中 的 离散 对 数 问题 ， 若 G, 中 的 离散 对 数 问题 可 解 ， 则 G 
中 的 离散 对 数 问题 可 解 。MOV 规约 〈 也 称 MOV 攻击 ) 是 指 将 攻击 G 中 的 离散 对 数 问 
题 转变 为 攻击 G, 中 的 离散 对 数 问题 。 所 以 要 使 G 中 的 离散 对 数 问题 为 困难 问题 ,那么 必 
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须 选 择 适当 参数 使 G, 中 的 离散 对 数 问题 为 困难 问题 。 

3. DDH 问题 

G, 中 的 判定 性 Diffie-Hellman 问题 简称 DDH (Decision Diffie-Hellman) 问题 ， 是 指 
EAI P,aP,bP,cP , Fx c=abmodg RAK, HH PRG 中 的 随机 元 素 ，a.p.c 是 2 
中 的 随机 数 。 

由 双 线 性 映射 的 性 质 可 知 : 

c=abmodg < e(P,cP) = e(aP, bP) 

因此 可 将 判定 c=abmodg 是 否 成 立 转变 为 判定 e(P,cP) = e(aP, bP) 是 否 成 立 ， 所 以 

G 中 的 DDH 问题 是 简单 的 。 


4. CDH 问题 

G, 中 的 计算 性 Diffie-Hellman 问题 简称 CDH (Computational Diffie-Hellman) 问题 ， 
是 指 已 知 P,aP,bP， 求 abpP， 其 中 是 Gi 中 的 随机 元 素 ，a,b 是 Zi 中 的 随机 数 。 

与 G, 中 的 DDH 问题 不 同 ，G, 中 的 CDH 问题 不 因 引 入 双 线 性 映射 而 解决 ， 因 此 它 
仍 是 困难 问题 。 


5. BDH 问题 和 BDH 假设 

由 于 G 中 的 DDH 问题 简单 ， 那 么 就 不 能 用 它 来 构造 G 中 的 密码 体制 。IBE 体制 的 
安全 性 是 基于 CDH 问题 的 一 种 变形 ， 称 为 双 线性 DH 假设 。 

双 线 性 DH 问题 简称 为 BDH (Bilinear Diffie-Hellman) 问题 ， 是 指 给 定 
(P,aP,bP,cP)(a,b,ce Zi), 计算 w=e(P,P)” eG,， 其 中 e 是 一 个 双 线 性 映射 , P 是 G 的 
生成 元 ，G, ，G, 是 阶 为 素数 q 的 两 个 群 。 设 算法 A 用 来 解决 BDH 问题 ， 其 优势 定义 为 
T, WR 

Pr | A(P,aP,bP,cP) = e(P,P)™ |> t 
目前 还 没有 有 效 的 算法 解决 BDH 问题 ， 因 此 可 假设 BDH 问题 是 一 个 困难 问题 ， 这 就 是 
BDH 假设 。 


5.5.3 IBE 方案 


令 大 是 安全 参数 , g 是 BDH 参数 生成 算法 , 其 输出 包括 素数 4, 两 个 阶 为 9 的 群 G » 
G,， 一 个 双 线 性 映射 e: G xG 一 G, 的 描述 。k 用 来 确定 q 的 大 小 ， 例 如 可 以 取 4 为 
kb Keo 

(1) 初始 化 。 

给 定安 全 参数 ke Z+ ， 算 法 运行 如 下 : 

© 输入 后 运行 g， 产 生 素数 g， 两 个 阶 为 4 的 群 G ，@G ， 一 个 双 线 性 映射 e: 
GxG 一 G。 选 择 一 个 随机 生成 元 Ps Gi 。 

@ 随机 选取 一 个 se Z;， 确 定 忆 ,=sP。 

© 选取 一 杂凑 函数 及 {0.1} > Go WHE, 再 选 一 个 杂凑 函数 厂 , :G, > {0,17 o 
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安全 分 析 时 则 把 H,, H, 视 为 随机 语言 *。 

消息 空间 为 M = {0.1j"， 密 文 空 间 为 C= G’ x {0,1y” 。 系 统 参数 为 <qg, G1, Gan e, n, P, 
Pw 可 ,HH,>， 是 公开 的 。s HERA, ERER. 

(2) 加 密 。 

用 接收 方 的 身份 ID 作为 公 钥 加 密 消息 Me M， 需 要 3 步 : 

® 计算 Cn =H (DEC. 

© 选择 一 个 随机 数 re Z; o 

@ 确定 密 文 C=<rP,M OH, (gp)>1 ZE gp =en Pa) EG O ERRER. 

(3) 密 钥 产生 。 

对 于 一 个 给 定 的 比特 串 De {0,1} KEH O =H D)e G+ ， 然 后 确定 秘密 钥 
dp =sOp ， 其 中 % HERA. 

(4) 解密 。 

RELA C=<UV>eC, AMR Hd, tHV OH, (e(dp.U))=M o 

这 是 因为 

(dy .U) = (809 .P)” = (Op Ps) = Sip 

杂凑 函数 有 一 个 性 质 “ 对 任 一 输入 ， 其 输出 的 概率 分 布 与 均匀 分 布 在 计算 上 是 不 可 
区 分 的 ”。 若 将 这 一 性 质 改 为 “对 任 一 输入 ， 其 输出 是 均匀 分 布 的 ”这 样 的 杂凑 函数 是 
理想 的 。 若 把 杂凑 函数 看 做 这 样 一 个 假想 的 理想 函数 ， 就 称 其 为 随机 预言 (Random 
Oracle). 


554 IBE 方案 的 安全 性 


1. 语义 安全 的 基于 身份 的 加 密 

公 钥 密码 体制 的 语义 安全 的 标准 定义 如 下 : 

(1) 攻击 算法 已 知 一 个 由 系统 产生 的 随机 公 钥 。 

(2) 攻击 算法 输出 两 个 长 度 相同 的 消息 M,,M,， 再 从 系统 接收 M 的 密 文 ， 其 中 随 
WUE b € {0,1} 。 

G) 攻击 算法 输出 5 ， 如 果 b=b' 则 成 功 。 如 果 没 有 多 项 式 时间 的 攻击 算法 能 以 不 
可 忽略 的 优势 成 功 ， 那 么 该 密码 体制 就 是 语义 安全 的 。 

要 定义 基于 身份 的 密码 体制 的 语义 安全 ， 应 允许 攻击 算法 根据 自己 的 选择 进行 密 钥 
询问 ， 即 攻击 算法 可 根据 自己 的 选择 询问 公 钥 ID 对 应 的 密 钥 ,以 此 来 加 强 标准 定义 。 如 
果 不 存 在 多 项 式 时 间 的 攻击 算法 4， 以 不 可 忽略 的 优势 在 下 面 的 攻击 中 获得 成 功 ， 那 么 
就 称 此 方案 是 语义 安全 的 。 

(1) 初始 化 : 系统 输入 安全 参数 上 产生 公开 的 系统 参数 Params 和 保密 的 主 密 钥 。 

(2) 阶段 1: 攻击 算法 发 出 对 D,- D, 的 密 钥 产 生 询问 。 系 统 允许 密 钥 产生 算法 ， 
产生 与 公 钥 ID, 对 应 的 密 钥 d，〈i=1，…，m)， 并 把 它 发 送 给 攻击 算法 。 

询问 : 攻击 算法 输出 两 个 长 度 相等 的 明文 M,,M, 和 一 个 意欲 询问 的 公开 钥 D. 唯一 
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的 限制 是 ID 不 在 阶段 1 中 的 任何 密 钥 询问 中 出 现 。 系 统 随机 选取 一 个 比特 值 be {0,1} 
计算 C= Encrypt(Params,ID,M,)， 并 将 C 发 送 给 攻击 算法 。 

G) 阶段 2: 攻击 算法 发 出 对 ID, ID, 的 密 钥 产 生 询 问 ， 唯 一 的 限制 是 
ID, #ID (i=mt+1，…，n)， 系 统 以 阶段 1 中 的 方式 进行 回应 。 

最 后 ， 攻 击 算法 输出 猜测 bp'e {0,1}， 如 果 b5=b' 则 成 功 。 


攻击 算法 的 优势 可 定义 为 参数 的 函数 ，Adv, (有 -ee = 4 


定义 5-5 ”如 果 对 任何 多 项 式 时间 的 攻击 算法 , Adv, (k) 可 忽略 , 那么 就 称 这 个 IBE 
体制 是 语义 安全 的 。 

一 个 函数 g:R-> RK 是 可 以 忽略 的 ， 意 指 对 任意 4>0 和 一 个 充分 大 的 上 有 
|g( |<I/k4 。 

定理 5-1 BRÁ H ，H, 是 随机 预言 如 果 在 g 产生 的 群 中 BDH 问题 是 困难 
的 ， 那 么 上 述 IBE 方案 是 语义 安全 的 基于 身份 的 加 密 方案 。 

证 明 过 程 略 。 


2. 选择 密 文安 全 

选择 密 文安 全 是 公 钥 加 密 方案 的 一 个 标准 安全 概念 ， 在 IBE 体制 中 这 个 要 求 需 再 加 
强 些 ， 因 为 在 IBE 体制 中 ， 攻 击 算 法 攻击 公 钥 ID 〈 即 获取 与 之 对 应 的 密 钥 ) 时 ， 他 可 能 
已 有 所 选用 户 ID,,…,ID, 的 密 钥 ， 因 此 选择 密 文安 全 的 定义 就 应 允许 攻击 算法 获取 与 其 
所 选 身份 〈 但 不 是 ID) 相应 的 秘密 钥 ， 可 把 这 一 要 求 看 做 对 密 钥 产生 算法 的 询问 。 

一 个 IBE 加 密 方案 是 抗 自 适应 性 选择 密 文 攻 击 语义 安全 的 ， 如 果 不 存在 多 项 式 时 间 
的 攻击 算法 ， 它 在 下 面 的 攻击 过 程 中 有 不 可 忽略 的 概率 。 

(1) 初始 化 : 系统 输入 安全 参数 上 产生 公开 的 系统 参数 Params 和 保密 的 主 密 钥 。 

(2) 阶段 1: 攻击 算法 执行 9,9,…,gw ， 这 里 g; 是 下 面 的 询问 之 一 : 

e 对 <IDz> 的 密 钥 产生 询问 。 系 统 运行 密 钥 产生 算法 ， 产 生 与 公 钥 ID; 对 应 的 密 钥 

qi， 并 把 它 发 送 给 攻击 算法 。 
e 对 < ID; ,C > 的 解密 询问 。 系 统 运行 密 钥 产生 算法 ， 产 生 与 ID; 对 应 的 秘密 钥 di 
再 运行 解密 算法 ， 用 4 解密 C,， 并 将 所 得 明文 发 送 给 攻击 算法 。 

上 面 的 询问 可 以 自 适应 地 进行 , 是 指 执行 每 个 g, 时 可 以 依赖 于 执行 q,,q,,…,g; ,时 得 
到 的 询问 结果 。 

攻击 算法 输出 两 个 长 度 相 等 的 明文 M,,M, 和 一 个 要 被 询问 的 身份 ID。 唯 一 的 限制 是 
ID 不 出 现在 阶段 1 中 的 任何 密 钥 询问 中 。 

系统 选取 一 个 随机 值 5e {0,1}, PÆ C= Encrypt(Params,ID,M,)， 并 将 C 作为 应 答 
发 送 给 攻击 算法 。 

G) 阶段 2: 攻击 算法 产生 更 多 询问 gnad q 是 下 面 的 询问 之 一 : 

e 对 < 了 ID,> 的 密 钥 产生 询问 。 系 统 以 阶段 1 中 的 方式 进行 回应 。 

e 对 <ID,,C> 的 解密 询问 。 系 统 以 阶段 1 中 的 方式 进行 回应 。 

最 后 ， 攻 击 算法 输出 对 5b 的 猜测 5'e {0.1D}， 如 果 b=z' 则 成 功 。 
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以 上 攻击 过 程 也 称 为 “午餐 时 间 攻 击 ” 或 “午夜 攻击 ” 相当 于 有 一 个 执行 解密 运算 
的 黑 盒 ， 掌 握 黑 盒 的 人 在 午餐 时 间 离 开 后， 攻击 者 能 使 用 黑 盒 对 自己 选择 的 密 文 解密 。 
午餐 过 后 ， 给 攻击 者 一 个 目标 密 文 ， 攻 击 者 试图 对 目标 密 文 解密 ， 但 不 能 再 使 用 黑 僵 了 。 
定义 
Adv, «0 =pro =- 


为 攻击 算法 的 优势 。 

定义 5-6 ”如 果 对 任何 多 项 式 时 间 的 攻击 算法 ， 函 数 Adv。,( 虽 可 忽略 ， 那 么 就 称 该 
IBE 体制 是 抗 自 适应 性 选择 密 文 攻击 语义 安全 的 。 

为 使 上 述 方案 成 为 在 随机 预言 模型 中 是 选择 密 文安 全 的 ， 还 需 对 其 加 以 修改 。 以 
Ex (M7) 表示 用 随机 比特 + 在 公 钥 pk FIE M 的 公 钥 加 密 算 法 ,Fujisaki-Okamoto 指出 ， 
WR a 是 单 向 加 密 的 , Wl ef =< Ep0, H (0, M)), H, (0) O M > 在 随机 预言 模型 下 是 选择 
密 文安 全 的 ， 其 中 o 是 随机 产生 的 比特 串 ， 石 ,, 玉 ,是 杂凑 函数 。 

单 向 加 密 粗略 地 讲 就 是 对 一 个 给 定 的 随机 密 文 ， 攻 击 算法 无 法 产生 明文 。 单 向 加 密 
是 一 个 弱 安 全 概念 ， 这 是 因为 它 没 有 阻止 攻击 算法 获得 明文 的 部 分 比特 值 。 

修改 后 的 加 密 方案 如 下 : 

(1) 初始 化 。 

和 基本 方案 相同 ， 此 外 还 需 选取 两 个 杂凑 函数 H, : {0,1}" x{0,1 > Z, 和 
H, : {0,1 > 0)", Hn 是 待 加 密 消息 的 长 度 。 

(2) 加 密 。 

用 公 钥 ID 加 密 M e {0,}}": 

© 计算 On =M (DEG. 

© 选 一 个 随机 串 oe {0,1y”。 

© H#H#r=H,(0,M). 

@ MEEXC=<rP, o ®H, (8p) M OH,(G)>+ XE gy =e(0pPa) EG, © 

(3) 密 钥 产生 。 

和 基本 方案 相同 。 

(4) 解密 。 

& C=<U,VW > EM ID 加密 所 得 的 密 文 。 如 果 Ug GY?， 拒绝 这 个 密 文 。 AM, FA 
WEH dp €G X} C W FRR: 

® 计算 V@H,(e(dp,U))=0。 

© 计算 W@H,(o)=M 。 

®© Wiser=H,(o.M), 检验 U=1P 是 否 成 立 ， 不 成 立 则 拒绝 密 文 。 

@ 把 M 作 为 C 的 明文 。 

定理 $-2” 设 杂 读 函数 瓦 ,及 .及 ,及 是 随机 预言 ,假设 在 由 8g 生成 的 群 中 BDH 问题 
是 困难 的 ， 那 么 上 述 修改 后 的 IBE 是 选择 密 文安 全 的 。 
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56 中 国 商用 密码 SM2 算法 


2010 年 12 月 17 日 ,国家 密码 管理 局 颁布 了 中 国 商用 公 钥 密码 标准 算法 SM2。 它 是 
一 组 基于 椭圆 曲线 的 公 钥 密码 算法 。 本 节 介 绍 SM2 公 钥 加 解密 算法 。SM2 数字 签名 算 
法 将 在 第 7 章 介绍 。 国 家 密码 管理 局 公告 (第 21 号 ) 详细 描述 了 SM2 系列 算法 。 读 者 
可 从 Web 地 址 http://www.oscca.gov.cn/News/201012/News_1197.htm 得 到 算法 详细 描述 。 


5.6.1 SM2 椭圆 曲线 推荐 参数 


SM2 椭圆 曲线 系统 参数 如 下 : 

O 有 限 域 Fy 的 规模 gq ( 当 g=2”" 时 ， 还 包括 元 素 表示 法 的 标识 和 约 化 多 项 式 )。 

© 定义 椭圆 曲线 BF) TEMA TCR a,b SF yo 

© 椭圆 曲线 FF) 上 的 基点 G= (xe,ye) (G40), HP x,y, 是 Fy 的 两 个 元 素 。 

图 GHB n 以 及 其 他 可 选项 ， 如 1 HRA AS. 

SM2 椭圆 曲线 公 钥 密码 算法 推荐 使 用 256 位 素数 域 GF(y) 上 的 椭圆 曲线 ， 椭 圆 曲 线 
方程 描述 为 


y =x +ax+b (5-28) 
SM2 椭圆 曲线 推荐 参数 用 十 六 进 制 表述 为 
p= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 
FFFFFFFF 00000000 FFFFFFFF FFFFFFFF 
a= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 
FFFFFFFF 00000000 FFFFFFFF FFFFFFFC 
b= 28E9FA9E 9D9FSE34 4DSA9E4B CF6509A7 
F39789F5 1SAB9F92 DDBCBD41 4D940E93 
n= FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 
7203DF6B 21C6052B S3BBF409 39D54123 
此 椭圆 曲线 建议 基点 G 为 
XG= 32C4AE2C 1F198119 5F990446 6A39C994 
8FE30BBF F2660BE1 715A4589 334C74C7 
a= BC3736A2 F4F6779C 59BDCEE3 6B692153 
B0A9877C C62A4740 02DF32E5 2139FOAO 
5.6.2 ”辅助 函数 


SM2 椭圆 曲线 公 钥 加 解密 算法 涉及 3 类 辅助 函数 : 杂凑 函数 、 密 钥 派 生 函 数 和 随机 
数 发 生 器 。 这 3 类 辅助 函数 的 安全 性 强 弱 直接 影响 加 密 算法 的 安全 性 。 因 此 ， 实 际 使 用 
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SM2 椭圆 曲线 公 钥 加 解密 算法 时 应 使 用 标准 中 指定 的 辅助 函数 。 


1. 杂凑 函数 

杂凑 函数 的 作用 是 将 任意 长 的 数字 串 M 映射 成 一 个 较 短 的 定 长 输出 数字 串 的 函数 ， 
一 般 用 妃 表 示 。 杂 凑 算 法 的 详细 内 容 将 在 第 6 章 介 绍 。 在 SM2 椭圆 曲线 公 钥 加 解密 算 
法 中 ， 应 使 用 国家 密码 管理 局 批准 的 杂凑 算法 ， 如 SM3 杂凑 算法 。 


2. 密 钥 派生 函数 

密 钥 派生 函数 的 作用 是 从 一 个 共享 的 秘密 比特 串 中 派生 出 密 钥 数据 。 本 质 上 ， 密 钥 
派生 函数 是 一 个 伪 随 机 数 产 生 函 数 ， 用 来 产生 所 需 的 会 话 密 钥 或 进一步 加 密 所 需 的 密 钥 
数据 。 SM2 椭圆 曲线 公 钥 加 解密 算法 中 详细 规定 了 基于 杂凑 函数 的 密 钥 派生 函数 。 因此 ， 
密 钥 派生 函数 需要 调用 杂凑 函数 。 

密 钥 派生 函数 所 调用 的 杂凑 函数 用 及 来 描述 ,其 输出 是 长 度 恰好 为 "比特 的 杂凑 值 。 
密 钥 派 生 函 数 用 天 一 KDF(Z. klen) 来 描述 ， 其 中 Z 是 输入 的 比特 串 ，klen 是 要 获得 密 钥 数 
据 的 比特 长 度 ， 要 求 klen F21). KDF 输出 长 度 为 klen 的 密 钥 数据 比特 串 K。 密 
钥 派 生 函 数 的 具体 算法 流程 描述 如 下 : 

© 初始 化 一 个 32 比特 构成 的 计数 器 ct=0x00000001。 

@ 对 i 从 1 到 [klen/v|: WH Ha, =H,(Z\\ct), 并 令 ct 加 1。 

@ 若 klenm 非 整数 ， 令 Harean AW Hanwen/w1 最 左边 的 第 (klen -(vx|klen/v ])) 比特 。 
否则 ， 令 Biaam = Hapua] ° 

© 输出 密 钥 数据 比特 串 天 = Ha, || Ha, ||- l| Haren ya ll Hauan e 


3. 随机 数 发 生 器 

随机 数 发 生 器 的 作用 是 从 指定 的 集合 范围 内 产生 随机 数 。 随 机 数 发 生 器 必须 满足 随 
机 性 和 不 可 预测 性 。 在 SM2 椭圆 曲线 公 钥 加 解密 算法 中 , 应 使 用 国家 密码 管理 局 批准 的 
随机 数 发 生 器 。 

5.6.3 FAA 

AMA: 用 户 的 私 钥 为 一 个 随机 数 ge {1,2,…,n 一 1} 。 

A: 用 户 的 公 钥 为 椭圆 曲线 上 的 点 P= 4G。 


56.4 WE 


设 需 要 发 送 的 消息 为 比特 串 M, klen 为 M 的 比特 长 度 。 为 了 对 明文 M 进行 加 密 ， 
作为 加 密 者 的 用 户 4 获得 用 户 B 的 公 铜 Ps 后 ， 应 执行 如 下 运算 步 又 : 

@ 用 随机 数 发 生 器 产生 随机 数 e {2.….n 一。 

© 计算 椭圆 曲线 上 的 点 Ci = KG = Gu 0)， 并 将 Ci 的 数据 类 型 转换 为 比特 串 。 

© 计算 椭圆 曲线 上 的 点 5=hPs， 若 S 是 无 穷 远 点 ， 则 报错 并 退出 。 

© 计算 椭圆 曲线 上 的 点 kPa = (y) JERE oo y: 的 数据 类 型 转换 为 比特 串 。 
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© 计算 1=KDF(wlb, klen)， 若 1 为 全 0 LRH, WIRED. 

© 计算 C=M@i。 

© 计算 Cs=HashGwlIMI| y2)- 

输出 密 文 C= Cil|C||Cs。 

注意 : 第 @ 步 所 使 用 的 杂凑 函数 Hash 也 应 使 用 中 国 商用 密码 标准 中 的 杂凑 函数 。 
图 5-3 为 SM2 椭圆 曲线 公 钥 加 密 算法 的 流程 图 。 


用 户 4 的 原始 数据 
( 帆 圆 曲线 系统 参数 、 长 度 为 klen 比 特 的 消息 M、 公 铀 Ps) 


I 产生 随机 数 ke{1 2,7-1) 


计算 椭圆 曲线 上 的 点 C1=kG=(x,y1) 


计算 椭圆 曲线 上 的 点 5S=hPp 


IFP El, y) 


计算 考 KDFCxa|| yzklen) 


计算 C=M@1 


了 
计算 C;=Hash(x,||Mlly, ) 


1 [ee 
fifa th BILC=C, Il Cz 1, 报错 并 退出 


5-3 SM2 加 密 算法 流程 图 


5.6.5 解密 


设 需要 解密 的 密 文 为 C= ClllCzllC:，klen 为 密 文中 Cs 的 比特 长 度 。 为 了 对 密 文 C 进 
行 解密 ， 作 为 解密 者 的 用 户 B 应 用 其 私 钥 ds 执行 如 下 运算 步 又 : 

O MC 取出 比特 串 C, K Ci 的 数据 类 型 转换 为 椭圆 曲线 上 的 点 ， 验 证 Ci 是 否 满 
足 椭 圆 曲 线 方程 。 若 不 满足 ， 则 报错 并 退出 。 

© 计算 椭圆 曲线 上 的 点 $=h Cl， 若 S 是 无 穷 远 点 ， 则 报错 并 退出 。 

© 计算 ds C= y) REIR x、yy 的 数据 类 型 转换 为 比特 串 。 
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图 HH t=KDF@|| yz klen)， 若 1 为 全 0 比特 串 ， 则 返回 @。 

© 从 C 取 出 比特 串 C, 计算 M'= C@ i。 

计算 wx = HashGelM 3)， 从 C 取 出 比特 串 C3， 若 uC ， 则 报错 并 退出 。 

© 输出 明文 M '。 

注意 : 第 @ 步 所 使 用 的 杂凑 函数 Hash 应 与 加 密 函 数 第 @ 步 所 使 用 的 杂凑 函数 一 致 。 
5-4 为 SM2 椭圆 曲线 公 钥 解密 算法 的 流程 图 。 


用 户 B 的 原始 数据 
(椭圆 曲线 系统 参数 、 密 文 Cl Cl| Cs、 私 钥 qy) 


从 密 文中 取出 Ci | 


验证 CI 是 否 否 
满足 曲线 方程 


1 
| aram asac e] 


是 
5 是 否 为 0 


1E 
计算 dpCi=(x,, y2) 


1 
计算 二 KDF(x,|| y2,klen) 


部 


{是 否 为 全 0 


否 


计算 M' =C,®r 


1 
计算 =Hash(x,||M || yz) 


WC 


1 
输出 密 文 C=Cil| cz Cs 报错 并 退出 
5-4 SM2 解密 算法 流程 图 


我 们 很 容易 证 明 加 解密 的 正确 性 。 由 加 密 算 法 可 知 : 
G =kG=(x,») (5-29) 


由 公私 钥 关 系 、 加 密 算法 的 第 @@ 步 、 解 密 算法 的 第 @ 步 可 知 : 
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dC, =d,kG =kP, =(%,y,) (5-30) 
因此 ， 解 密 算法 第 @ 步 可 得 到 正确 的 会 话 密 钥 上 经 第 @ 步 得 到 正确 的 明文 M =M。 


56.6 ”实例 与 应 用 


为 了 开发 人 员 在 工程 实现 时 调试 方便 , 中 国 国家 密码 管理 局 在 颁布 SM2 公 钥 加 解密 
算法 时 , 分 别 给 出 了 SM2 公 钥 加 解密 算法 在 Fp-256 上 椭圆 曲线 和 在 FF, -257 上 椭圆 曲线 
的 消息 加 解密 实例 ， 以 及 加 密 解 密 各 步骤 中 的 有 关 值 。 感 兴趣 的 读者 可 从 Web 地 址 
http://www.oscca.gov.cn/News/201012/News_1197.htm 获取 相关 实例 信息 。 

SM2 公 钥 加 解密 算法 也 属于 ElGamal 型 椭圆 曲线 密码 。 但 SM2 公 钥 加 解密 算法 加 
入 了 很 多 检 错 措施 ， 提 高 了 密码 系统 的 数据 完整 性 和 可 靠 性 。 例 如 ， 解 密 算法 第 〇 步 ， 
通过 验证 C 是 否 满足 椭圆 曲线 方程 来 验证 C 的 有 效 性 ; 解密 算法 第 @ 步 ， 通 过 验证 子 
群 元 素 的 阶 进一步 检查 C 的 有 效 性 ; 解密 算法 第 @ 步 ， 应 用 所 解密 的 明文 M' 以 及 坐标 
{Ei xn RE Cs 的 正确 性 ， 而 所 解密 明文 M' 的 正确 性 包含 C, 与 1 的 正确 性 。 因 此 ， 经 
过 解密 步骤 DO、@、@,， 密 文 C= Cil|Csl|C; 的 正确 性 与 有 效 性 均 得 到 验证 。 

SM2 公 钥 密码 学 算法 已 在 中 国 得 到 了 广泛 应 用 。 在 中 华人 民 共和 国 居民 身份 证 的 芯 
片 中 就 用 硬件 实现 了 SM2 公 钥 加 解密 算法 ， 用 来 保护 重要 的 个 人 信息 。 截 至 2013 年 8 
月 31 日 ， 共有 352 项 通用 产品 支持 SM 公 钥 加 解密 算法 ; 截至 2016 年 2 月 29 日 , 共 
有 564 项 商用 密码 产品 支持 SM2 公 钥 加 解密 算法 。 感 兴趣 的 读者 可 从 Web 网 址 
http://www.oscca.gov.cn/News/201109/News_1212.htm 获取 支持 SM2 公 钥 加 解密 算法 的 通 
用 产品 名 单 ; 从 Web 网 址 http://www.oscca.gov.cn/News/201603/News_1319.htm 获取 支持 
SM2 公 钥 加 解密 算法 的 商用 密码 产品 目录 。 


57 _ 公 和 钥 密 码 体 制 的 安全 性 分 析 


通常 说 “密码 体制 区 对 于 攻击 了 是 安全 的 ， 但 是 对 于 攻击 Z 是 不 安全 的 ”是 有 道理 
的 ， 即 密码 体制 的 安全 性 是 根据 攻击 来 定义 的 。 主 动 攻击 通常 有 3 种 方式 ， 这 些 主动 攻 
击 的 方式 将 用 于 对 本 章 其 余部 分 所 介绍 的 密码 体制 的 分 析 ， 它 们 的 定义 如 下 。 

(1) 选择 明文 攻击 (CPA). 攻击 者 选择 明文 消息 并 得 到 加 密 服务 , 产生 相应 的 密 文 。 
攻击 者 的 任务 是 用 所 得 到 的 明 / 密 文 对 来 降低 目标 密码 体制 的 安全 性 。 

(2) 选择 密 文 攻击 (CCA)。 攻击 者 选择 密 文 消息 并 得 到 解密 服务 , 产生 相应 的 明文 。 
攻击 者 的 任务 是 用 所 得 到 的 明 / 密 文 对 来 降低 目标 密码 体制 的 安全 性 。 在 解密 服务 停止 
后 ， 即 在 得 到 目标 密 文 之 后 ， 解 密 服 务 立 即 停止 。 如 果 攻 击 者 能 够 从 “目标 密 文 ”中 得 
到 保密 明文 的 信息 ， 则 就 说 攻击 是 成 功 的 。 

(3) 适应 性 选择 密 文 攻击 〈《CCA2)。 这 是 一 个 CCA， 而 且 除 了 对 “目标 密 文 ” 解 密 
外 ， 永 远 能 够 得 到 解密 服务 。 

可 以 用 以 下 情形 来 想象 上 述 攻击 类 型 : 
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(1) 在 CPA 中 ， 攻 击 者 有 一 个 加 密 盒子 。 

(2) 在 CCA F, 攻击 者 可 以 有 条 件 地 使 用 解密 盒子 : 在 交 给 攻击 者 目标 密 文 之 前 关 
闭 解密 盒子 。 

G) 在 CCA2 中 ， 在 攻击 者 得 到 目标 密 文 之 前 或 之 后 ， 只 要 攻击 者 不 把 目标 密 文 输 
入 解密 盒子 (这 个 唯一 的 限制 是 合理 的 , 否则 攻击 者 就 没有 任何 需要 解决 的 困难 问题 了 )， 
他 就 可 以 一 直 使 用 这 个 解密 盒子 。 

在 所 有 的 情况 下 ， 攻 击 者 都 不 应 该 拥有 相应 的 密 钥 。 

CPA 和 CCA 原来 是 作为 攻击 对 称 密码 系统 所 提出 的 主动 密码 分 析 模 型 ， 在 对 称 密 
码 系统 中 ， 攻 击 者 的 目标 就 是 用 他 从 攻击 中 得 到 的 明 / 密 文 对 减弱 目标 加 密 系统 的 安全 
性 。 它 们 已 经 用 于 规范 对 公 钥 系统 的 主动 攻击 。 这 里 指出 以 下 有 关公 钥 密 码 系统 的 3 个 
细节 : 

(1) 在 公 钥 系统 下 ， 由 于 给 定 了 公 钥 ， 任 何人 都 可 以 完全 控制 加 密 算法 ， 这 样 任何 
人 总 是 可 以 得 到 公 钥 系统 的 加 密 服 务 。 换 句 话 说，CPA 永远 可 以 用 来 攻击 公 钥 密码 系统 。 
于 是 ， 如 果 对 公 钥 密码 系统 的 一 个 攻击 没有 用 到 任何 解密 服务 ， 就 可 以 称 这 个 攻击 为 
CPA。 因 此 ， 显 然 任何 一 个 公 钥 密码 系统 必须 抵抗 CPA， 否 则 它 就 不 是 一 个 有 用 的 密码 

(2) 一 般 地 ， 大 多 数 公 钥 密 码 体制 基于 的 数学 问题 都 有 一 些 很 好 的 代数 结构 性 质 ， 
如 闭 包 、 结 合 律 和 同 态 等 。 一 个 攻击 者 可 以 运用 这 些 很 好 的 性 质 ， 并 通过 巧妙 的 计算 组 
成 一 条 密 文 。 如 果 攻 击 者 能 得 到 解密 服务 ， 则 他 的 巧妙 的 计算 可 能 使 他 得 到 一 些 明文 信 
息 ,或 者 甚至 是 目标 加 密 系统 的 私 钥 ， 否 则 要 得 到 私 钥 对 他 来 说 在 计算 上 是 不 可 行 的 。 
所 以 ， 公 钥 系 统 特别 容易 受到 CCA 和 CCA2 的 攻击 。 

(3) 看 起 来 CCA 限制 太 大 了 。 在 应 用 中 , 处 于 攻击 下 的 用 户 〈 被 要 求 提 供 解密 服务 ) 
实际 上 未 必 知 道 攻击 的 存在 。 所 以 用 户 就 不 知道 何 时 应 该 停止 提供 解密 服务 。 一 般 假设 
普通 用 户 不 知道 攻击 者 的 存在 ， 所 以 攻击 者 一 直 能 够 得 到 解密 服务 。 另 一 方面 ， 由 于 攻 
击 者 总 能 够 自己 来 执行 选择 明文 的 加 密 “ 服 务 ”， 所 以 任何 公 钥 系统 都 必须 抵抗 CPA. 
由 于 这 个 原因 ， 主 要 考虑 抵抗 CCA2 的 方法 。 

最 近 , 人 们 对 抗 选 择 密 文 攻 击 的 双 钥 密码 有 不 少 研究 .Goldwasser 等 学 者 [Goldwasser 
等 1988] 最 先 指出 并 非 所 有 双 钥 体制 的 解密 问题 都 像 从 公 钥 恢复 密 钥 一 样 困 难 ， 因 此 必 
须 注意 双 钥 体制 经 受 选 择 密 文 攻击 的 能 力 。Naor 和 Yung[Naor 等 1990] 首 次 建议 了 一 种 
抗 冷漠 选择 密 文 攻击 在 语义 上 安全 的 具体 公 钥 加 密 方案 。 此 方案 采用 了 两 个 独立 的 概率 
公 钥 加 密 方案 对 明文 加 密 ， 以 后 以 非 交 互 零 知识 证 明 方式 送出 。 其 中 同一 个 消息 采用 两 
个 密 钥 加 密 。Rackoff 和 Simon[Rackoff 等 1991] 首 次 提出 一 种 抗 自 适应 选择 密 文 攻击 在 
语义 上 安全 的 公 钥 加 密 方案 。 但 这 类 方案 都 由 于 消息 扩展 太 大 而 不 实用 。 

Damgard 也 曾 提出 一 种 可 以 抗 冷 漠 选 择 密 文 攻击 的 有 效 构造 公 钥 体制 的 方法 , Zheng 
和 Seberry[Zheng 等 1993] 指 出 ,该 体制 不 能 抗 自 适应 选择 明文 攻击 ， 并 提出 3 种 方法 对 
抗 此 类 攻击 。 但 这 些 方案 都 未 能 证 明 可 以 达到 所 宣称 的 安全 水 平 。 后 来 Bellare 和 
Gogaway[Bellare 等 1993] 证 明 Zheng 等 提出 的 方案 中 的 随机 预言 模型 式 (Random Oracle 
Model) 在 自 适 应 选择 密 文 攻击 下 是 可 证 明 安 全 的 。Lim 和 Lee [Lim 等 1993] 曾 提出 可 
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以 抗 选择 密 文 攻 击 的 公 钥 方案 ， 但 被 Frankel 和 Yung[Frankel 等 1995] 攻 破 。 


习 A 

填空 题 

1. 在 双 钥 密码 体制 中 ， 若 以 作为 加 密 密 钥 ， 以 作为 解密 密 钥 ， 则 
可 实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 ， 若 以 作为 加 密 密 钥 ， 
以 为 解密 密 钥 ， 则 可 实现 一 个 用 户 加 密 的 消息 能 由 多 个 用 户 解读 。 

2. 对 于 双 钥 密码 体制 来 说 ， 其 安全 性 主要 取决 于 ， 要 求 加 密 函 数 具 
有 3 

3. DL 问题 是 指 已 知 y, g, p KR 的 问题 ，DHP 问题 是 指 已 知 g* fla’, R 


的 问题 ，FAC 问题 是 指 已 知 n=pl|gq， 求 和 的 问题 。 
4. 双 钥 密码 体制 需要 基于 单 向 函数 来 构造 ， 目 前 多 数 双 钥 体制 是 基于 


$ 和 等 问题 构造 的 。 

5. RSA 密码 体制 易于 实现 ， 既 可 用 于 又 可 用 于 ， 是 被 广泛 应 用 的 
一 种 公 钥 体制 。 

6. 针对 RSA 密码 体制 的 选择 明文 攻击 ， 包 括 s 和 等 
方式 。 

7. ElGamal 密码 体制 是 一 种 基于 的 双 钥 密码 体制 ， 其 加 密 密 文 是 由 明文 和 
所 选 随机 数 k 来 确定 ， 因 而 属于 加 密 。 

8. 椭圆 曲线 密码 体制 利用 有 限 域 上 的 所 构成 的 群 上 定义 的 构造 
双 钥 密码 体制 。 

9. 基于 身份 的 密码 体制 ， 使 用 双 椭 圆 曲 线 上 的 ， 将 用 户 的 身份 映射 为 

10. 中 国 商用 公 钥 密码 标准 算法 SM 算法 是 一 组 基于 的 公 和 钥 密码 算法 。 
SM2 公 钥 加 解密 算法 中 包含 3 类 辅助 函数 ， 分 别 为 和 

二 、 思 考题 


1. 什么 是 单 向 函数 ? 什么 是 陷 门 单 向 函数 ? 

2. 双 钥 体制 的 安全 性 均 依 赖 于 构造 双 钥 算法 所 依赖 的 数学 难题 。 那 么 RSA 算法 是 
基于 一 种 什么 数学 难题 构造 的 ? 

3. 离散 对 数 问 题 与 计算 Diffie-Hellman 问题 有 什么 关系 ? 

4. 在 RSA 公 钥 数据 (e, N) 中 ， 为 什么 加 密 指 数 e 必须 与 9 (N) 互 素 ? 

5. 通常 情况 下 分 解 奇 合 数 是 困难 问题 。 那 么 分 解 素数 的 窜 也 是 困难 问题 吗 ? (一 个 
FARE Np, HP p 是 素数 ，i ERR ARN.) GER: 对 任意 i >l, 计算 N 的 i 
次 根 需要 尝试 多 少 个 指数 值 i? ) 

6. RSA 加 密 函 数 可 以 看 做 RSA 模 数 乘 群 上 的 一 个 置换 , 所 以 RSA 函数 也 称 为 单 向 
陷 门 置换 。ElGamal 加 密 函 数 是 单 向 陷 门 置换 吗 ? 
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7. 在 什么 情况 下 可 以 把 ElGamal 密码 体制 看 做 是 确定 的 算法 ? 

8. 与 RSA 相 比 ，ECC 的 主要 优点 是 什么 ? 试 将 两 者 进行 比较 。 

9. SM2 公 钥 加 解密 算法 与 椭圆 曲线 ElGamal 公 钥 加 解密 算法 相 比 ， 有 什么 相似 之 
处 ? 有 什么 不 同 之 处 ? SM2 公 钥 加 解密 算法 增加 了 何 种 功能 ? 试 将 两 者 进行 比较 。 

10. 什么 是 CPA，CCA 和 CCA2? 为 什么 所 有 公 钥 加 密 算法 都 必须 抵抗 CPA? 

11. 由 于 主动 攻击 通常 要 修改 网 络 上 传输 的 〈 密 文 ) 消息 ， 那 么 如 果 公 钥 加 密 算法 
用 了 数据 完整 性 检测 技术 来 检测 对 密 文 消息 的 非 授 权 修改 ， 主 动 攻击 仍然 会 有 效 吗 ? 
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本 章 首先 介绍 认证 和 认证 系统 的 基本 概念 ， 认 证 码 的 基本 理论 [Meyer 等 1982]; 然 
后 介绍 认证 算法 的 基本 组 成 部 分 一 一 杂凑 (Hash) 函数 ; 最 后 介绍 几 种 实用 的 杂凑 算法 ， 
如 MD 系列 杂凑 算法 、SHA 系列 杂凑 算法 和 中 国 商 密 标准 SM3 杂凑 算法 。 


64 -认证 函数 


本 节 讨 论 可 以 用 来 产生 认证 符 的 函数 类 型 ， 这 些 函数 可 以 分 为 如 下 3 类 。 

。 消息 加 密 : 它 采 用 整个 消息 的 密 文 作为 认证 符 。 

。 消息 认证 码 (MAC): 它 是 消息 和 密 钥 的 公开 函数 ， 它 产生 定 长 的 值 ， 以 该 值 作 
为 认证 符 。 

。 杂凑 函数 : 它 将 任意 长 的 消息 映射 为 定 长 的 杂凑 值 的 公开 函数 ， 以 该 杂凑 值 作为 
认证 符 。 

6.1.1 消息 加 密 


消息 加 密 本 身 提 供 了 一 种 认证 手段 。 对 称 密码 和 公 钥 密码 两 种 体制 对 消息 加 密 的 分 
析 是 不 相同 的 。 

1. 对 称 加 密 

考虑 一 个 使 用 传统 加 密 的 简单 例子 ， 如 图 6-1 所 示 。 发 送 方 4 用 4 和 B 共享 的 密 钥 
天 对 发 送 到 接收 方 刀 的 消息 M 加 密 。 如 果 没有 其 他 方 知道 该 密 钥 ， 那 么 可 提供 保密 性 ， 
因为 任何 其 他 方 均 不 能 恢复 出 消息 明文 。 

B 可 确信 该 消息 是 由 4 产生 的 。 因 为 除 B 外 只 有 4 拥有 天 ，4 能 产生 可 用 天 解密 的 
密 文 ， 所 以 该 消息 一 定 来 自 4。 由 于 攻击 者 不 知道 密 钥 ， 他 也 就 不 知道 如 何 改变 密 文 中 
的 信息 位 ， 才 能 在 明文 中 产生 预期 的 改变 。 因 此 ， 若 B 可 以 恢复 出 明文 ， 则 B 可 以 认为 
M 中 的 每 位 都 未 被 改变 。 

因此 ， 对 称 密码 既 可 提供 认证 又 可 提供 保密 性 ， 但 这 不 是 绝对 的 。 考 虑 在 B 方 所 发 
生 的 事件 , 给 定 解密 函数 D 和 密 钥 K, 接收 方 可 接收 任何 输入 马 并 产生 输出 了 = D(X) 。 
若 世 是 用 相应 的 加 密 函 数 对 合法 消息 M 加 密生 成 的 密 文 , 则 了 就 是 明文 消息 M; 否则 了 
可 能 是 无 意义 的 位 串 。 因 此 在 B 端 需要 有 某 种 方法 能 确定 了 是 合法 的 明文 以 及 消息 确实 
发 自 4。 
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a WA ooo o B 
M a | -© -M M k: | o -| 
K Ex K KU, Feu iM) KR, 
(a) 对 称 加 密 : 保密 性 与 认证 (b) 公 钥 加 密 : 保密 性 
P 9 - | lu 
xr, EU 1 


O 公 钥 加 密 : 认证 和 数字 签名 


J 
Ekr, M) Eku, (Ekr (M)) Ekr, (M) 
KR, KU, R KU, 


(d) 公 钥 加 密 : 保密 、 认 证 和 签名 
图 6-1 消息 加 密 的 基本 用 途 

从 认证 的 角度 来 看 , 上 述 推理 存在 这 样 一 个 问题 。 如 果 消 息 M 可 以 是 任意 的 位 模式 ， 
那么 接收 方 无 法 确定 接收 到 的 消息 是 合法 明文 的 密 文 。 若 M 可 以 是 任意 的 位 模式 ， 那么 
WE X KEEA, Y= Dx (X) 都 会 作为 真实 的 密 文 被 接收 。 

一 般 来 讲 ， 要 求 合 法 明文 只 是 所 有 可 能 位 模式 的 一 个 小 子 集 。 这 样 ， 由 任何 伪造 的 
密 文 都 不 太 可 能 得 出 合法 的 明文 。 例 如 ， 假 定 10° 种 位 模式 中 只 有 一 种 是 合法 明文 的 位 
模式 ， 那 么 随机 选择 一 个 位 模式 作为 密 文 ， 它 产生 合法 明文 消息 的 概率 只 有 10” 。 

许多 应 用 和 加 密 方法 都 满足 上 述 条 件 。 例 如 , 假定 利用 具有 一 次 移动 (K =] 的 Caesar 
密码 来 传递 英文 消息 ，4 发 送 下 列 合法 的 消息 : 

nbsftfbupbutboeepftfbupbutboemjuumfmbnctfbujwz 


B 解密 并 产生 下 列 明文 : 


mareseatoatsanddoeseatoatsandlittlelambseativy 


通过 简单 的 频率 分 析 可 以 发 现 这 个 消息 具有 普通 英语 的 特点 。 若 攻击 者 产生 下 列 随 
机 的 字符 序列 : 


zuvrsoevgqxlzwigamdvnmhpmccxiuureosfbcebtqxsxq 
则 它 被 解密 为 : 

ytuqrndufpwkyvhfzlcumlgolbbwhttqdnreabdaspwrwp 
这 个 序列 不 具有 普通 英语 的 特点 。 

对 接收 到 的 密 文 解密 ， 再 对 所 得 明文 的 合法 性 进行 判别 ， 这 不 是 一 件 容易 的 事 。 例 
如 , 若 明 文 是 二 进 制 文件 或 数字 化 的 义 射 线 , 那么 很 难 确定 解密 后 的 消息 是 真实 的 明文 。 
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此 攻击 者 可 以 简单 地 发 布 任何 消息 并 伪 称 是 发 自 合法 用 户 的 消息 ， 从 而 造成 某 种 程度 的 
破坏 。 

解决 这 个 问题 的 方法 之 一 : 要 求 明文 具有 某 种 易于 识别 的 结构 ， 并 且 不 通过 加 密 函 
数 是 不 能 重复 这 种 结构 的 。 例 如 ， 可 以 考虑 在 加 密 前 对 每 个 消息 附加 一 个 错误 检测 码 ， 
也 称 为 帧 校 验 序列 CFCS) 或 校 验 和 ， 如 图 6-2 (a) MR A 准备 发 送 明 文 消息 M, W 
么 4 将 MM 作为 函数 F 的 输入 , 产生 FCS, 将 FCS 附加 在 M 后 并 对 M 和 FCS 一 起 加 密 。 
在 接收 端 ，B 解密 其 收 到 的 信息 ， 并 将 其 看 做 是 消息 和 附加 的 FCS， 用 相同 的 函数 F 
重新 计算 FCS。 若 计算 得 到 的 FCS 和 接收 到 的 FCS 相等 ， 则 B 认为 消息 是 真实 的 。 任 
何 随机 的 位 串 不 可 能 产生 M 和 FCS 之 间 的 上 述 联 系 。 

源 A 宿 B 


M M D M 
FM) 


比较 


Ex[MIIF(M)] 


(a) 内 部 错误 控制 
Ex{M] 


M 


Ex{M] 


F EM )] 
(b) 外 部 错误 控制 
图 62 内 部 和 外 部 错误 控制 


注意 ，FCS 和 加 密 函 数 执行 的 顺序 很 重要 。Diffie 等 [1979] 将 图 6-2 Ca) 所 示 的 这 种 
序列 称 为 内 部 错误 控制 ， 以 与 外 部 错误 控制 (图 6-2(b)) 对 应 。 对 于 内 部 错误 控制 ， 
由 于 攻击 者 很 难产 生 密 文 ， 使 得 解密 后 其 错误 控制 位 是 正确 的 ， 因 此 内 部 错误 控制 可 以 
提供 认证 ; WR FCS 是 外 部 码 ， 那 么 攻击 者 可 以 构造 具有 正确 错误 控制 码 的 消息 ， 虽 然 
攻击 者 不 知道 解密 后 的 明文 是 什么 ， 但 他 可 以 造成 混淆 并 破坏 通信 。 

错误 控制 码 仅 是 具有 上 述 结构 的 一 个 例子 。 事 实 上 ， 在 要 发 送 的 消息 中 加 入 任何 类 
型 的 结构 信息 都 会 增强 认证 能 力 。 分 层 协议 通信 体系 可 以 提供 这 种 结构 ， 例 如 ， 可 以 考 
虑 使 用 TCP/IP 传输 的 消息 结构 ， 图 6-3 给 出 的 TCP 段 的 格式 说 明了 TCP 报头 的 结构 。 
假定 每 对 主机 共享 一 个 密 钥 ， 并 且 无 论 是 何 种 应 用 ， 每 对 主机 间 都 使 用 相同 的 密 钥 进行 
信息 交换 ， 那 么 可 以 对 除 P 报头 外 的 所 有 数据 报 加 密 ， 如 图 6-4 所 示 ， 如 果 攻 击 者 用 一 
条 消息 替代 加 密 后 的 TCP 段 ， 那 么 解密 后 得 出 的 明文 将 不 等 于 原 IP 报头 。 在 这 种 方法 
中 ， 头 不 仅 包含 校 验 和 ， 而 且 还 含有 其 他 一 些 有 用 的 信息 ， 如 序列 号 。 因 为 对 于 给 定 连 
接 , 连续 的 TCP 段 是 按 顺序 编号 的 , 所 以 加 密使 攻击 者 不 能 删除 任何 段 或 改变 段 的 顺序 。 


2. 公 钥 加 密 
使 用 公 和 钥 加 密 (图 6-4 (b)) 可 提供 保密 性 ， 但 不 能 提供 认证 。 发 送 方 4 使 用 接收 
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位 :0 4 10 16 31 
源 端口 宿 端 口 
8 序列 号 
F = 
节 应 答 号 
数据 偏 移 留 标志 窗口 
校 验 和 紧急 指针 

选择 + 填充 i 

1 1 

| 应 用 数据 1 

lee eee eee ane 
图 6-3 TCP R 


Link-H | Net-H | IP-H TCP-H | 数据 “| Link-T 
(a) 应 用 层 加 密 (在 链 路 、 路 由 器 上 和 网 关中 ) 


r------------------------------ -1 
1 
| Link-H | Net-H | IP-H TCP-H | 数据 |Link-T| ! 
! 在 链 路 、 路 由 器 上 i 
I 1 
1 [Link-H| Net-H | 1P-H [TCP-H| 数据 [Linkr] | 
1 
人 WRR - ! 
(b) TCP 层 加 密 
人 ES 1 
| [Link [eee [pant] rere] ae ET]; 
在 链 路 上 ! 
上 
| [Link-H | Net-H | IP-H [TCP-H| 数据 |LinkT| | 
[一 Ex | 
(c) 链 路 层 加 密 
阴影 表示 加 密 
TCP-H=TCP 头 
IP-H=IP 头 


Net-H= 网 络 层 数据 头 (如 X.25 分 组 头 ，LLC 头 ) 
Link-H= 数 据 链 接 控 制 协 议 头 
Link-T= 数 据 链 接 控 制 协 议 尾 


图 6-4 不 同 加 密 策略 的 实现 

Ù B HAKU, 对 M 加 密 ， 由 于 只 有 B 拥 有 相应 的 私 钥 KR,， 所 以 只 有 B 能 对 消息 解 
密 。 但 是 任何 攻击 者 可 以 假冒 4 用 B 的 公 钥 对 消息 加 密 , 所 以 这 种 方法 不 能 保证 真实 性 。 

若 要 提供 认证 ， 则 4 用 其 私 钥 对 消息 加 密 ， 而 B 用 4 的 公 钥 对 接收 的 消息 解密 
(图 6-4 (c))。 因 为 只 有 4 拥有 KR。， 能 产生 用 KR,。 可 解密 的 密 文 ， 所 以 该 消息 一 定 来 
自 4。 同 样 ， 对 明文 也 必须 有 某 种 内 部 结构 以 使 接收 方 能 区 分 真实 的 明文 和 随机 的 
位 串 。 

假定 明文 具有 这 种 结构 ， 那 么 图 6-4 C) 的 方法 既 可 提供 认证 ， 又 可 提供 数字 签名 
功能 。 由 于 只 有 4 拥有 KR。，, MARA A 能 够 产生 密 文 , 甚至 接收 方 B 也 不 能 产生 密 文 ， 
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因此 若 B 接收 到 密 文 消息 ， 则 B 可 以 确认 该 消息 来 自 4。 事 实 上 ，4 通过 用 其 私 钥 对 消 
息 加 密 来 对 该 消息 “签名 ”。 

注意 ， 这 种 方法 不 能 提供 保密 性 ， 因 为 任何 拥有 4 的 公 钥 的 人 都 可 将 密 文 解密 。 

如 果 既 要 提供 保密 性 又 要 提供 认证 , 那么 4 可 先 用 其 私 钥 对 M 加 密 ，, 这 就 是 数字 签 
名 ; 然后 4 用 B 的 公 钥 对 上 述 结果 加 密 ， 这 可 保证 保密 性 (图 6-4(d))。 但 这 种 方法 的 
缺点 是 ， 一 次 通信 中 要 执行 4 次 复杂 的 公 钥 算 法 。 

表 6-1 归纳 总 结 了 各 种 消息 加 密 方 法 在 提供 保密 性 和 认证 方面 的 特点 。 

表 6-1 各 种 消息 加 密 方法 在 提供 保密 性 和 认证 方面 的 特点 


格 R 特 ”点 
提供 保密 性 : 只 有 4 和 B 共 享 KK 
提供 认证 : 只 能 发 自 4， 传输 中 未 被 改变 ， 需 
对 称 加 密 AB:E,[M] 要 某 种 数据 组 织 形式 或 元 余 


不 能 提供 数字 签名 : 接收 方 可 以 伪造 消息 ; 发 
送 方 可 以 否认 消息 

提供 保密 性 :只 有 万 拥 有 用 于 解密 的 密 钥 KR。 
不 能 提供 认证 : 任何 一 方 都 可 用 KU, 对 消息 加 
密 并 假 称 是 A 

提供 认证 和 签名 : 只 有 4 拥有 用 于 加 密 的 密 铀 
KR, : 传输 中 未 被 改变 ; 需要 某 种 数据 组 织 形 
式 或 宛 余 ， 任何 一 方 可 用 KU 来 验证 签名 
提供 保密 性 《因为 KU, ) 

提供 认证 和 签名 〈 因 为 KR。) 


公 钥 〈 非 对 称 ) 加 密 AB: Egy, [M] 


公 钥 加 密 : 认证 和 签名 | AB: Ee M] 


ARME: 保密 性 、 认 gee he oa 
证 和 签名 4 Be Fra, Fx, D) 


6.1.2 ”消息 认证 码 
消息 认证 码 又 称 MAC, 也 是 一 种 认证 技术 , 它 利用 密 钥 来 生成 一 个 固定 长 度 的 短 数 
据 块 ， 并 将 该 数据 块 附 加 在 消息 之 后 。 在 这 种 方法 中 ， 假 定 通 信 双 方 ， 比 如 4 和 B， 共 
FRH KA A 向 B 发 送 消 息 , 则 4 计算 MAC, 它 是 消息 和 密 钥 的 函数 , 即 MAC= Cx(M)， 
其 中 : 
M= 输 入 消息 
C=MAC 函数 
天 = 共享 的 密 钥 
MAC= 消 息 认证 码 
消息 和 MAC 被 一 起 发 送 给 接收 方 。 接 收 方 对 接收 到 的 消息 用 相同 的 密 钥 KK 进行 相 
同 计算 , 得 出 新 的 MAC, 并 将 接收 到 的 MAC 与 其 计算 出 的 MAC 进行 比较 (图 6-5 (a))。 
如 果 假 定 只 有 收发 双方 知道 该 密 钥 , 且 若 接收 到 的 MAC 与 计算 得 出 的 MAC HI, WA: 
(1) 接收 方 可 以 相信 消息 未 被 修改 。 如 果 攻 击 者 改变 了 消息 ， 但 他 无 法 改变 相应 的 
MAC， 所 以 接收 方 计算 出 的 MAC 将 不 等 于 接收 到 的 MAC。 因 为 已 假定 攻击 者 不 知道 
密 钥 ， 所 以 他 不 知道 应 如 何 改 变 MAC 才能 使 其 与 修改 后 的 消息 相 一 致 。 
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(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 ， 因 此 不 
能 产生 具有 正确 MAC 的 消息 。 

G) 如 果 消 息 中 含有 序列 号 〈 如 HDLC，X.25 和 TCP 中 使 用 的 序列 号 )， 那 么 接收 
方 可 以 相信 消息 顺序 是 正确 的 ， 因 为 攻击 者 无 法 成 功 地 修改 序列 号 。 

MAC 函数 与 加 密 类 似 。 其 区 别 之 一 是 MAC 算法 不 要 求 可 逆 性 ,而 加 密 算法 必须 是 
可 逆 的 。 一 般 而 言 MAC 函数 是 多 对 一 函数 ， 其 定义 域 由 任意 长 的 消息 组 成 ， 而 值 域 由 
所 有 可 能 的 MAC 和 密 钥 组 成 。 若 使 用 位 长 的 MAC， 则 有 >" 个 可 能 的 MAC, 而 有 NN 
条 可 能 的 消息 ， 其 中 入 >> 2" 。 若 密 钥 长 为 : WA 2* 种 可 能 的 密 钥 。 

例如 ， 假 定 使 用 100 位 的 消息 和 10 位 的 MAC， 那 么 总 共有 2” 种 不 同 的 消息 ， 但 
仅 有 2" 种 不 同 的 MAC。 所 以 平均 而 言 , 同一 MAC 可 以 由 2% /2° =2” 条 不 同 的 消息 产 
生 。 若 使 用 的 密 钥 长 为 5 位 ， 则 从 消息 集合 到 MAC 值 的 集合 有 2° = 32 种 不 同 的 映射 。 

可 以 证 明 ， 由 于 认证 函数 的 数学 性 质 ， 与 加 密 相 比 ， 认 证 函数 更 不 易 被 攻破 。 

如 图 6-5 (a) 所 示 的 过 程 可 以 提供 认证 但 不 能 提供 保密 性 ， 因 为 整个 消息 是 以 明文 
形式 传送 的 。 若 在 MAC 算法 之 后 (图 6-5 (b)) 或 之 前 (图 6-5 (c)) 对 消息 加 密 ， 则 
可 以 获得 保密 性 。 这 两 种 情形 都 需要 两 个 独立 的 密 钥 ， 并 且 收 发 双方 共享 这 两 个 密 钥 。 
在 第 1 种 情形 中 ， 先 将 消息 作为 输入 ， 计 算 MAC， 并 将 MAC 附加 在 消息 后 ， 然 后 对 整 
个 信息 块 加 密 ; 在 第 2 种 情形 中 ， 先 将 消息 加 密 ， 然 后 将 此 密 文 作为 输入 ， 计 算 MAC, 
并 将 MAC 附加 在 上 述 密 文 之 后 形成 待 发 送 的 信息 块 。 一 般 而 言 , 将 MAC 直接 附加 于 明 
文 之 后 要 更 好 一 些 ， 所 以 通常 使 用 图 6-5 (b) 中 的 方法 。 


一 - 源 4 - 一 ÑB =- 
M M mOn 
| K ia = 比较 
= | K 4 
Hy(M) 
(a) 消息 认证 


-| IM 
加 K, MU “© D) i 比较 


K, Ep(M||Hę(M) K, 


Hp (M) 
(>) 消息 认证 和 保密 性 ; 与 明文 有 关 的 认证 


Hypo 


Hg (Ex(M)) 
(c) 消息 认证 和 保密 性 ; 与 密 文 有 关 的 认证 
图 6-5 消息 认证 码 (MAC) 的 基本 用 途 
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对 称 加 密 可 以 提供 认证 ， 且 它 已 被 广泛 用 于 现 有 产品 之 中 ， 那 么 为 什么 不 直接 使 用 
这 种 方法 而 要 使 用 分 离 的 消息 认证 码 呢 ? Davies 等 提出 了 3 种 使 用 消息 认证 码 的 情形 : 

(1) 有 许多 应 用 是 将 同一 消息 广播 给 很 多 接收 者 。 例 如 ， 需 要 通知 各 用 户 网 络 暂时 
不 可 使 用 ， 或 一 个 军事 控制 中 心 要 发 一 条 警报 。 这 种 情况 下 ， 一 种 经 济 可 靠 的 方法 就 是 
只 要 一 个 接收 者 负责 验证 消息 的 真实 性 ， 所 以 消息 必须 以 明文 加 上 消息 认证 码 的 形式 进 
行 广播 。 上 述 负责 验证 的 接收 者 拥有 密 钥 并 执行 认证 过 程 ， 若 MAC 错误 ， 他 则 发 警报 
通知 其 他 接收 者 。 

(2) 在 信息 交换 中 ， 可 能 有 这 样 一 种 情况 ， 即 通信 的 某 一 方 的 处 理 负荷 很 大 ， 没 有 
时 间 解 密 所 有 接收 到 的 消息 ， 他 应 能 随机 选择 消息 并 对 其 进行 认证 。 

(3) 对 明文 形式 的 计算 机 程序 进行 认证 是 一 种 很 有 意义 的 服务 。 运 行 一 个 计算 机 程 
序 而 不 必 每 次 对 其 解密 ， 因 为 每 次 对 其 解密 会 浪费 处 理 器 资源 。 若 将 消息 认证 码 附 于 该 
程序 之 后 ， 则 可 在 需要 保证 程序 完整 性 的 时 候 才 检 验 消 息 认 证 码 。 

除 此 以 外 ， 还 有 下 述 3 种 情形 : 

(1) 一 些 应 用 并 不 关心 消息 的 保密 性 ， 而 关心 消息 认证 。 例 如 ， 简 单 网 络 管理 协议 
版 本 3 (SNMP v3) 就 是 如 此 ， 它 将 提供 保密 性 和 提供 认证 分 离开 来 。 对 这 些 应 用 ， 管 
理 系 统 应 对 其 接收 到 的 SNMP 消息 进行 认证 ， 这 一 点 非常 重要 ， 尤 其 是 当 消息 中 包含 修 
改 系统 参数 的 命令 时 更 是 如 此 ， 但 对 这 些 应 用 不 必 对 SNMP 的 传输 进行 加 密 。 

(2) 将 认证 和 保密 性 分 离开 来 ， 可 使 层次 结构 更 加 灵活 。 例 如 ， 可 能 希望 在 应 用 层 
对 消息 进行 认证 ， 而 在 更 低层 上 ， 如 传输 层 ， 则 可 能 希望 提供 机 密 性 。 

(3) 仅 在 接收 消息 期 间 对 消息 实施 保护 是 不 够 的 ， 用 户 可 能 希望 延长 对 消息 的 保护 
时 间 。 就 消息 加 密 而 言 ， 消 息 被 解密 后 就 不 再 受 任何 保护 ， 这 样 只 是 在 传输 中 可 以 使 消 
息 不 被 修改 ， 而 不 是 在 接收 方 系统 中 保护 消息 不 被 修改 。 由 于 收发 双方 共享 密 钥 ， 因 此 
MAC 不 能 提供 数字 签名 。 

表 6-2 归纳 总 结 了 图 6-5 所 示 的 各 种 方法 在 提供 保密 性 和 认证 方面 的 特点 。 


表 6-2 各 种 方法 在 提供 保密 性 和 认证 方面 的 特点 


基本 用 和 途 
消息 认证 A> BMI CD) 提供 认证 RAAR BIEK 
消息 认证 和 保密 性 ; 提供 认证， 只 有 了 和 了 共享 后 
与 明文 有 关 的 认证 | 402 MIC] BURGH: RAAM BIY K 
消息 认证 和 保密 性 ; 所 供认 证， 使 用 天 
与 明文 有 关 的 认证 | AOE ESIC EMD | 提供 保密 性 ;使 用 及 


6.1.3 ”杂凑 函数 


杂凑 函数 (Hash Function) 是 将 任意 长 的 数字 串 M 映射 成 一 个 较 短 的 定 长 输出 数字 
HARA, Wh 表示 ，h(M) 易 于 计算 ， MH =AM)A M 的 杂凑 值 ， 也 称 杂凑 码 、 
杂凑 结果 等 或 简称 杂 凌 。 这 个 互 无 疑 打上 了 输入 数字 串 的 烙印 , 因此 又 称 其 为 输入 MM 的 
数字 指纹 (Digital Finger Print)。h 是 多 对 一 映射 ， 因 此 不 能 从 瑟 求 出 原来 的 M， 但 可 以 
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验证 任 一 给 定 序列 M' 是否 与 M 有 相同 的 杂凑 值 。 

单 向 杂凑 函数 还 可 按 其 是 否 有 密 钥 控制 划分 为 两 大 类 .一 类 有 密 钥 控制 , 以 Ak, M) 
表示 ， 为 密码 杂凑 函数 ， 另 一 类 无 密 钥 控制 ， 为 一 般 杂 凑 函 数 。 无 密 钥 控制 的 单 向 杂凑 
函数 ， 其 杂凑 值 只 是 输入 字 串 的 函数 ， 任 何人 都 可 以 计算 ， 因 而 不 具有 身份 认证 功能 ， 
只 用 于 检测 接收 数据 的 完整 性 ， 如 自 改 检测 码 (MDC)， 用 于 非 密码 计算 机 应 用 中 。 有 
密 钥 控 制 的 单 向 杂凑 函数 ， 要 满足 各 种 安全 性 要 求 ， 其 杂凑 值 不 仅 与 输入 有 关 ， 而 且 与 
密 钥 有 关 ， 只 有 持 此 密 钥 的 人 才能 计算 出 相应 的 杂凑 值 ， 因 而 具有 身份 验证 功能 ， 如 消 
息 认 证 码 (MAC) [ANSIX 9.9 1986]。 此 时 的 杂凑 值 也 称 做 认证 符 (authenticator) 或 认 
证 码 。 密 码 杂凑 函数 在 现代 密码 学 中 有 重要 作用 。 本 章 主要 研究 密码 杂凑 函数 ， 简 称 杂 
BRM. 

杂凑 函数 在 实际 中 有 广泛 的 应 用 。 在 密码 学 和 数据 安全 技术 中 ， 它 是 实现 有 效 、 安 
全 可 靠 数 字 签名 和 认证 的 重要 工具 ， 是 安全 认证 协议 中 的 重要 模块 。 由 于 杂凑 函数 应 用 
的 多 样 性 和 其 本 身 的 特点 而 有 很 多 不 同 的 名 字 ， 其 含义 也 有 差别 ， 如 压缩 (compression) 
函数 、 紧 缩 (contraction ) 函数 、 数 据 认 证 码 (Data Authentication Code)、 消 息 摘 要 (Message 
Digest)、 数 字 指 纹 、 数 据 完 整 性 校 验 (Data Integity Check)、 密 码 检验 和 (Cryptographic 
Check Sum)、 消 息 认 证 码 (Message Authentication Code, MAC)、 算 改 检 测 码 (Manipulation 
Detection Code，MDC) 等 。 

密码 学 中 所 用 的 杂凑 函数 必须 满足 安全 性 的 要 求 ， 要 能 防伪 造 ， 抗 击 各 种 类 型 的 攻 
击 ， 如 生日 攻击 、 中 途 相遇 攻击 等 。 因 此 必须 深入 研究 杂凑 函数 的 性 质 ， 从 中 找 出 能 满 
足 密 码 学 需要 的 杂凑 函数 。 下 面 首 先 引入 一 些 基 本 概念 。 

有 关 单 向 杂凑 函数 的 论述 可 参阅 [Preneel 1993a, 1993b; Zhu 1996]; 有 关 非 密码 杂 
凑 函 数 的 论述 可 参阅 相关 文献 ; Wegman 等 指出 了 密 钥 用 于 杂凑 函数 作为 认证 ， 
Rabin[1978，1979] 建 议 将 单 向 杂凑 函数 与 数字 签名 相 结合 。 

单 向 杂凑 函数 是 消息 认证 码 的 一 种 变形 。 与 消息 认证 码 一 样 ， 杂 凑 函 数 的 输入 是 大 
小 可 变 的 消息 M， 输 出 是 大 小 固定 的 杂凑 码 瑟 CU) 。 与 MAC 不 同 ， 杂 凑 码 并 不 使 用 密 
钥 ， 它 仅 是 输入 消息 的 函数 。 杂 凑 码 有 时 也 称 为 消息 摘要 ， 或 杂凑 值 。 所 以 杂凑 码 也 是 
所 有 消息 位 的 函数 ， 它 具有 错误 检测 能 力 ， 即 改变 消息 的 任何 一 位 或 多 位 ， 都 会 导致 杂 
凑 码 的 改变 。 
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MAC 也 称 为 密码 校 验 和 ， 它 由 下 述 形 式 的 函数 C 产生 : 
MAC=C,(M) 
其 中 ，M 是 一 个 变 长 消息 , 天 是 收发 双方 共享 的 密 钥 ，CxCW) 是 定 长 的 认证 符 。 在 假定 
或 已 知 消息 正确 时 ， 将 MAC 附 于 发 送 方 的 消息 之 后 发 送 给 接收 方 ;接收 方 可 通过 计算 
MAC 来 认证 该 消息 。 
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6.2.1 对 MAC 的 要 求 


为 了 获得 保密 性 ， 可 用 对 称 或 非 对 称 密码 对 整个 消息 加 密 ， 这 种 方法 的 安全 性 一 般 
依赖 于 密 钥 的 位 长 。 除 了 算法 中 本 身 的 某 些 弱点 外 ， 攻 击 者 可 以 对 所 有 可 能 的 密 钥 进行 
穷 举 攻击 。 对 于 一 个 上 位 的 密 钥 ， 穷 举 攻击 一 般 需 要 24 ?2 步 。 对 仅 依 赖 于 明文 的 攻击 ， 
若 给 定 密 文 C, 攻击 者 要 对 所 有 可 能 的 天 计算 已 = Du (C)， 直 到 产生 的 某 呈 具有 适当 的 
明文 结构 为 止 。 

对 MAC 情况 则 完全 不 一 样 。 一 般 来 讲 ，MAC 函数 是 多 对 一 函数 。 攻 击 者 如 何 用 穷 
举 方法 找到 密 钥 呢 ? 如 果 没 有 提供 保密 性 ， 那 么 攻击 者 可 访问 明文 形式 的 消息 及 其 
MAC。 假 定 上 >m， 即 假定 密 钥 位 数 比 MAC 长 ， 那 么 对 满足 MAC, = Cu (M,) 的 MX 和 
MAC, > 密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K, 计算 MAC; = Cx (M1)， 那么 至 少 有 一 个 密 
钥 会 使 得 MAC, =MAC, 。 注 意 ， 总 共 会 产生 2* 个 MAC, 但 只 有 2 "<2* 个 不 同 的 MAC 
值 ， 所 以 许多 密 钥 都 会 产生 正确 的 MAC, 而 攻击 者 却 不 知道 哪个 是 正确 的 密 钥 。 平均 来 
说 ， 有 2*/2” =2” 个 密 钥 会 产生 正确 的 MAC， 因 此 攻击 者 必须 重复 下 述 攻 击 : 

(1) 循环 1。 

EM,» MAC, = Cx(M) 

对 所 有 2 个 密 钥 ,判断 MAC; = Cx (M) 

匹配 数 => 2°” 

(2) 循环 2。 

给 定 M,，MAC, =C,(M,) 

对 余下 的 2*” 个 密 钥 判断 MAC, = Cx (M,) 

匹配 数 ~ 2” 

平均 来 说 ， 若 上 = wxm， 则 需 w 次 循环 。 例如， 如 果 使 用 80 位 的 密 钥 和 长 为 32 位 
HY MAC, 那么 第 1 次 循环 会 得 到 约 2” 个 可 能 的 密 钥 , 第 2 次 循环 会 得 到 约 2 个 可 能 的 
密 钥 ， 第 3 次 循环 则 得 到 唯一 一 个 密 钥 ， 这 个 密 钥 就 是 发 送 方 所 使 用 的 密 钥 。 

如 果 密 钥 的 长 度 小 于 或 等 于 MAC 的 长 度 ， 则 很 可 能 在 第 1 次 循环 中 就 得 到 一 个 密 
钥 ， 当 然 也 可 能 得 到 多 个 密 钥 , 这 时 攻击 者 还 需 对 新 的 (消息 ，MAC) 对 执行 上 述 测试 。 

由 此 可 见 ， 用 穷 举 方法 来 确定 认证 密 钥 不 是 一 件 容易 的 事 ， 而 且 确 定 认证 密 钥 比 确 
定 同样 长 度 的 加 密 密 钥 更 困难 。 不 过 可 能 存在 不 需要 寻找 密 钥 的 其 他 攻击 。 

分 析 下 面 的 MAC 算法 。 令 消息 M =X || XQ || XG ||--- || X,,) 是 由 64 位 分 组 蕊 连接 而 
成 的 。 定 义 : 

A(M) =X, OX, ®-- OX, 

Cx (M) = Ex[lA(M)] 
其 中 @ 是 异 或 (XOR) 运算 ， 加 密 算法 是 电子 密码 本 模式 DES， 那 么 密 钥 长 为 56 位 ， 
MAC 长 为 64 位 。 若 攻击 者 知道 {M1|| Ck(M)}, 则 确定 下 的 穷 举 攻击 需 执行 至 少 2”* 次 加 
密 ， 但 是 攻击 者 可 以 用 任何 期 望 的 六 至 了 二 , BRYA, Ay, Sx, 来 进行 攻击 ， 
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其 中 二 ,的 计算 如 下 : 
Yn =¥, OY, ®--- GY, OAM) 

攻击 者 可 以 将 并 至 了 ,与 原来 的 MAC 连接 成 一 个 新 的 消息 ， 而 接收 方 却 会 认为 该 消 
息 是 真实 的 。 用 这 种 办 法 ， 攻 击 者 可 以 随意 插入 任意 长 为 64x(m 一 ]) 位 的 消息 。 

因此 ， 评 价 MAC 函数 的 安全 性 时 ， 应 该 考虑 对 该 函数 的 各 种 类 型 的 攻击 。 下 面 介 
绍 MAC 函数 应 满足 的 要 求 。 假 定 攻击 者 知道 MAC 函数 C， 但 不 知道 天 ， 那 么 MAC K 
数 应 具有 下 述 性 质 : 

(1) 若 攻击 者 已 知 M 和 Ck(M)， 则 他 构造 满足 Ck(M")= Cx(M) 的 消息 M， 在 计算 
上 是 不 可 行 的 。 

(2) Ck (M) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M ALM", C,(M)=C,(M’) 
的 概率 是 2”"， 其 中 是 MAC 的 位 数 。 

G) 设 M' 是 M 的 某 个 已 知 的 变换 ， 即 M'= fCQ) 。 例 如 ， 太 可 表示 逆转 M 的 一 位 
Mfr, IA Pr[C,(M)=C,(M')]=2". 

前 面 已 介绍 过 ， 攻 击 者 即使 不 知道 密 钥 ， 也 可 以 构造 出 与 给 定 的 MAC 匹配 的 新 消 
息 ， 第 1 个 要 求 就 是 针对 这 种 情况 提出 的 。 第 2 个 要 求 是 为 了 阻止 基于 选择 明文 的 穷 举 
攻击 , 也 就 是 说 , 假定 攻击 者 不 知道 K, 但 是 他 可 以 访问 MAC 函数 , 能 对 消息 产生 MAC, 
那么 攻击 者 可 以 对 各 种 消息 计算 MAC， 直 至 找到 与 给 定 MAC 相同 的 消息 为 止 。 如 果 
MAC 函数 具有 均匀 分 布 的 特征 , 那么 穷 举 方法 平均 需要 22 步 才能 找到 具有 给 定 MAC 
的 消息 。 

(4) 认证 算法 对 消息 的 某 一 部 分 或 位 不 应 比 其 他 部 分 或 位 更 弱 。 否 则 ， 已 知 M 和 
CxC) 的 攻击 者 可 以 对 M 的 已 知 “ 弱 点 ”处 进行 修改 ， 然 后 再 计算 MAC， 这 样 有 可 能 
更 早 得 出 具有 给 定 MAC 的 新 消息 。 


6.2.2 ”基于 杂凑 函数 的 MAC 


杂凑 函数 自然 而 然 地 成 为 数据 完整 性 的 一 种 密码 原型 。 在 共享 密 钥 的 情况 下 ， 杂 凑 
函数 将 密 钥 作为 它 的 一 部 分 输入 ， 另 一 部 分 输入 为 需要 认证 的 消息 。 因 此 ， 为 了 认证 一 
个 消息 M， 发 送 者 计算 

MAC = h(k || M) 
其 中 ,大 为 发 送 者 和 接收 者 的 共享 密 钥 ,“ | ”表示 比特 串 的 连接 。 

根据 杂凑 函数 的 性 质 可 以 假设 : 为 了 用 杂凑 函数 生成 一 个 有 效 的 关于 密 钥 上 和 消息 
MM 的 MAC, 该 主体 必须 拥有 正确 的 密 钥 和 正确 的 消息 。 与 发 送 者 共享 密 钥 的 接收 者 应 
当 由 所 接收 的 消息 M 重新 计算 出 MAC， 并 检验 同 所 接收 的 MAC 是 否 一 致 。 如 果 一 致 ， 
就 可 以 相信 该 消息 来 自 所 声称 的 发 送 者 。 

因为 这 样 的 MAC 是 使 用 杂凑 函数 构造 的 ， 因 此 也 称 为 HMAC (用 杂凑 函数 构造 的 
MAC)。 为 谨慎 起 见 ，HMAC 通常 按照 下 面 的 形式 计算 

HMAC = h(k || M || k) 

ETL, BARU SAAR, IN T BIE ae A AAR R 

数 的 “ 轮 函 数 迭 代 ” 结 构 。 如 果 不 用 密 钥 保护 消息 的 两 端 ， 某 些 杂 凑 函 数 所 具有 的 已 知 
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结构 , 可 使 攻击 者 不 必 知道 密 钥 就 可 以 选择 一 些 数据 用 做 消息 前 缀 或 后 缀 来 修改 消息 。 
6.2.3 ”基于 分 组 加 密 算法 的 MAC 


构造 密 钥 杂 竣 函数 的 标准 方法 是 使 用 分 组 密码 算法 的 CBC 运行 模式 。 这 样 构造 的 密 
钥 杂 凌 函 数 通常 称 为 MAC. 

令 .(m) 表示 输入 消息 为 m， 密 钥 为 的 分 组 密码 加 密 算法 。 为 了 认证 消息 M， 发 
送 者 首先 对 M 进行 分 组 : 

M = mm, mm, 
其 中 ， 每 一 个 子 消息 组 m, (i=1,2,…,7) 的 长 度 都 等 于 分 组 加 密 算法 输入 的 长 度 。 如 果 最 
后 一 个 子 消息 组 m, 长 度 小 于 分 组 长 度 ， 就 必须 对 其 填充 一 些 随机 值 。 设 C, = IV 为 随机 
初始 向 量 。 现 在 ， 发 送 者 用 CBC 加 密 : 
C, < E, (m @C,,)> i=L,2,…,! 
然后 ， 数 值 对 
V.G) 
作为 MAC 将 附 在 M 后 送出 。 

很 明显 ， 在 生成 CBC-MAC (由 运行 CBC 模式 的 分 组 密码 构造 的 MAC) 的 计算 中 
包括 了 不 可 求 逆 的 数据 压缩 (本 质 上 ，CBC-MAC 是 整个 消息 的 “ 短 摘要 ”)， 因 此 
CBC-MAC 是 一 个 单 向 变换 ， 而 且 所 用 的 分 组 密码 加 密 算法 的 混合 变换 性 质 为 这 个 单 向 
变换 增加 了 一 个 杂凑 特点 (也 就 是 说 , 将 MAC 分 布 到 MAC 空间 与 分 组 密码 加 密 算法 应 
该 将 密 文 分 布 到 密 文 空 间 同样 均匀 )。 因 此 , 可 以 设想 , 为 了 生成 一 个 有 效 的 CBC-MAC, 
该 主体 必须 知道 控制 分 组 密码 算法 的 密 钥 k。 与 发 送 者 共享 密 钥 的 接收 者 应 当 由 所 接 
收 的 消息 M 重新 计算 出 MAC， 并 检验 与 所 接收 的 MAC 是 否 一 致 。 如 果 一 致 ， 就 可 以 
相信 该 消息 来 自 所 声称 的 发 送 者 。 

ANA MAC, M) 表示 一 个 MAC， 它 为 共享 密 钥 大 的 主体 的 消息 M 提供 完整 性 服 
务 。 在 这 个 表示 法 中 ， 忽 略 了 实现 细节 ， 比 如 为 实现 MAC 采用 了 何 种 单 向 变换 等 。 
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6.3.1 单 向 杂凑 函数 


第 5 章 中 已 经 介绍 了 单 向 函数 的 一 些 基 本 概念 ， 单 向 函数 不 仅 在 构造 双 钥 密码 体制 
中 有 重要 意义 ， 而 且 也 是 杂凑 函数 理论 中 的 一 个 核心 概念 。 

定义 6-1 若 杂 凌 函 数 刀 为 单 向 函数 ， 则 称 其 为 单 向 杂凑 函数 。 

显然 ， 对 一 个 单 向 杂凑 函数 h， 由 M 计算 有 万 =h(M) 是 容易 的 ， 但 要 产生 一 个 MM， 
使 h(M') 等 于 给 定 的 杂凑 值 瑟 是 困难 的 ， 这 正 是 密码 中 所 希望 的 。 

定义 6-2 若 单 向 杂凑 函数 hn， 对 任意 给 定 M 的 杂凑 值 万 =h(M) 下 ， 找 一 M'， 使 
AM) =H EWR ERAT, WR h 为 弱 单 向 杂凑 函数 。 
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定义 6-3 对 单 向 杂凑 函数 h, 若 要 找 任意 一 对 输入 M,，M,，M, 关 MM,，, 使 h(M)= 
AM, 在 计算 上 不 可 行 ， 则 称 因为 强 单 向 杂凑 函数 。 

上 述 两 个 定义 给 出 了 杂凑 函数 的 无 碰撞 (Collision Free) 性 概念 。 所 谓 弱 单 向 杂凑 ， 
就 是 在 给 定 M 下 ， 考 察 与 特定 M 的 无 碰撞 性 ， 强 单 向 杂凑 函数 是 考查 输入 集中 任意 两 
个 元 素 的 无 碰撞 性 。 显 然 ， 对 于 给 定 的 输入 数字 串 的 集合 ， 后 一 种 碰撞 更 容易 实现 。 因 
为 从 下 面 要 介绍 的 生日 悖 论 得 知 , 在 Y 个 元 素 的 集中 , 给 定 M 找 与 M 相 匹 配 的 MX 的 概 
率 ， 要 比 从 六 中 任 取 一 对 元 素 (M,M') 相 匹配 的 概率 小 得 多 。 


6.3.2 ”杂凑 函数 在 密码 学 中 的 应 用 


杂凑 函数 广泛 应 用 于 密码 学 。 这 里 列 出 杂凑 函数 的 几 个 重要 用 途 : 

(1) 在 数字 签名 中 ， 杂 凑 函 数 一 般 用 来 产生 “消息 摘要 ”或 “消息 指纹 ”。 这 种 用 法 
是 为 将 要 签署 的 消息 增加 一 个 可 以 验证 的 元 余 , 以 便 这 个 杂凑 消息 包含 可 以 识别 的 信息 。 
在 数字 签名 中 将 看 到 杂凑 函数 的 这 种 一 般 用 法 。 在 那里 ， 将 主要 依赖 包含 在 签名 消息 中 
的 一 些 可 识别 的 元 余 信 息 来 实现 数字 签名 体制 的 安全 性 (不 可 抵赖 性 )。 

(2) 在 具有 实用 安全 性 的 公 钥 密码 系统 中 ， 杂 凑 函 数 被 广泛 用 于 实现 密 文 正确 性 验 
证 机 制 。 对 于 要 获得 可 证 明 安全 的 抗 主动 攻击 的 加 密 体制 来 说 , 这 个 机 制 是 必 不 可 少 的 。 

G) 在 需要 随机 数 的 密码 学 应 用 中 ， 杂 竣 函 数 被 广泛 用 做 实用 的 伪 随 机 函数 。 这 些 
应 用 包括 密 钥 协商 《〈 如 两 个 主体 将 自己 的 随机 种 子 作 为 杂凑 函数 的 输入 ， 得 到 一 个 共享 
的 密 钥 值 )、 认 证 协议 〈 如 协议 双方 通过 交换 某 些 杂凑 值 来 证 实 协议 执行 的 完整 性 )、 电 
子 商务 协议 〈 如 以 博弈 方式 实现 小 额 支付 的 聚集 )、 知 识 证 明 协 议 〈《 如 实现 非 交互 式 的 证 
明 )。 在 本 书 的 其 他 章节 中 ， 将 介绍 杂凑 函数 用 于 这 些 协 议 的 大 量 例子 。 

6.3.3 ”分 组 迭代 单 向 杂凑 算法 的 层次 结构 

要 想 将 不 限定 长 度 的 输入 数据 压缩 成 定 长 输出 的 杂凑 值 ， 不 可 能 设计 一 种 逻辑 电路 
使 其 一 步 到 位 。 在 实际 应 用 中 ， 总 是 先 将 输入 数字 串 划 分 成 固定 长 的 段 ， 如 m 比特 段 ， 
再 将 此 mb 映射 成 了 bb， 完成 此 映射 的 函数 被 称 为 迭代 函数 。 采 用 类 似 于 分 组 密 文 反 馈 的 
模式 对 一 段 mb 输入 做 类 似 映 射 ， 依 此 类 推 ， 直 到 全 部 输入 数字 串 完 成 映射 ， 以 最 后 的 
输出 值 作为 整个 输入 的 杂凑 值 。 类 似 于 分 组 密码 ， 当 输入 数字 串 不 是 m 的 整数 倍 时 ， 可 
采用 填充 方法 处 理 。 

mb 到 nb 的 分 组 映射 或 迭代 函数 有 3 种 不 同 选择 : 

(1) m>n。 有 数据 压缩 ， 例 如 ，MD-4、MD-5 和 SHA 等 算法 是 不 可 逆 映 射 。 

(2) m=n。 无 数据 压缩 ， 也 无 数据 扩展 ， 通 常 分 组 密码 采用 此 类 。 此 时 输入 到 输 
出 是 一 种 随机 映射 ， 在 已 知 密 钥 下 是 可 逆 的 。 利 用 分 组 密码 构造 的 杂凑 算法 多 属 此 类 。 
在 不 知道 密 钥 的 情况 下 ， 分 组 密码 实质 上 是 一 个 单 向 函数 〈 或 更 确切 地 说 是 陷 门 单 向 函 
数 )。 

G) m<n。 有 数据 扩展 的 映射 认证 码 属于 此 类 。 
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当然 ， 和 迭代 函数 的 设计 也 可 采用 上 述 组 合 来 实现 ， 如 采用 将 mb 先进 行 扩展 ， 然 后 
再 逐步 经 过 几 次 压缩 ， 实 现 理想 的 密码 特性 ， 如 Universal 函数 的 构造 法 [Stinson 1994; 
Zhu 1996]. 

一 个 mb 到 nb HERBAL, E RIR, AR E BIB AH RR E HIE RSL, 
如 分 组 密码 。 因 此 ， 像 分 组 密码 一 样 ， 轮 函数 的 设计 是 杂凑 算法 设计 的 核心 。 

在 迭代 计算 杂凑 值 时 ， 为 了 使 输入 消息 随机 化 ， 多 采用 了 一 个 随机 化 初始 向 量 IV 
(Initial Vector)。 它 可 以 是 已 知 的 ， 或 随 密 钥 改 变 ， 或 作为 前 缀 (prefix) 加 在 消息 数字 
Zit, DH, 表示 。 

6.3.4 迭代 杂凑 函数 的 构造 方法 

给 定 一 种 安全 迁 代 函 数 已 ， 可 按 下 述 方法 构造 单 向 迭代 杂凑 函数 。 将 消息 M 划分 成 
组 Mi，M,，*…，M;，…，M,。 设 选 定 密 钥 为 K， 令 及 ,为 初始 向 量 IV， 一 般 为 一 随 
机 的 比特 串 ， 则 可 有 下 述 多 种 和 迭代 方式 构造 杂凑 函数 。 

(1) Rabin 法 [Rabin 1978]. 

HN 
H,=E(M,,H,,) i=l-~.t 
H(M)=H, 
(2) 密码 分 组 链接 (CBC) 法 。 
H,=IV 
H,=E(K,M,®H,,) i=1,2,,t 
H(M)=H, 

ANSI X9.9, ANSI X9.19, ISO 8731-1, ISO/IEC 9797 以 及 澳大利亚 标准 都 采用 了 这 
类 CBC-MAC 方案 。Ohta 等 [1994] 对 此 法 进行 了 差分 分 析 。 

(3) 密码 反馈 (CFB) 法 。 

H,=IV 
H,=E(K,H,,)®M, i=1,2,-t 
H(M)=H, 
(4) 组 合 明 / 密 文 链接 法 [Meyer $ 1982]. 
M,,, =IV 
H, =E(K,M, ®M,, ®H,,) i=1,2,--t 
H(M) = H,,, 
(5) 修正 Daveis-Meyer 法 [Lai 1992]. 
H, =IV 
H,=E(H,,,M,,H,,) (H, FM, REEE H) 

若 数据 分 组 长 和 密 钥 长 度 相等 ， 则 可 利用 B.Preneel 总 结 的 下 述 12 种 基本 方式 构造 
的 分 组 迭代 杂凑 函数 [Preneel 1993a，1993b]。 令 EE 是 迭代 函数 ， 它 可 以 是 一 种 分 组 加 密 
算法 ，E(K,X) ， 是 密 钥 ,对 是 输入 数据 组 或 菜 种 压缩 算法 。 令 消息 分 组 为 M,，…， 
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M,» = H, = 了 为 初始 值 。 
CL) H, = E(M,,H,.)® H, 
(2) H, =E(H,..M,)®M, OH, 
G) H, =E(H4.M, ®H,.) OM, 
(4) A, =EH, M; ®H,,) OM, DH 
(5) H,=E(H,,,M,) OM, 
(6) H,=E(M,,M, ®H,,)®M, BH, 
(1) A, =E(M,,H,.) OM, OH,, 
(8) H, =E(M,,M, ®H,,)®H,, 
(9) H, =E(M, ® H,..M,)®M, 
10) H, = E(M, ©H,,1..) OH 
(11) H, =E(M, BH,M) BDH,, 
(12) H, =E(M, ® H, H,,)® M, 
如 果 原 来 的 加 密 算法 是 安全 的 , 则 上 述 12 种 方案 给 出 的 杂凑 函数 对 于 目标 攻击 的 计 
算 复杂 度 为 CO(2" )， 对 于 中 途 相遇 攻击 的 计算 复杂 度 为 0(2"”?)， 因 而 当 杂 凑 值 大 于 128b 
时 也 是 安全 的 。 其 他 组 合 方式 如 : 
H, = E(M,, H) 
H, = E(M, © H, H, ,)® H, , OM 
H,=E(C,M,®H,,)®H,®M,, CARR 
已 经 证 明 ， 以 上 3 种 组 合 方式 都 是 不 安全 的 。 


6.3.5 ”应 用 杂 姜 函数 的 基本 方式 


杂凑 算法 可 与 加 密 及 数字 签名 结合 使 用 ， 实 现 系统 的 有 效 、 安 全 、 保 密 与 认证 。 其 
基本 方式 如 图 6-6 所 示 [William 2006]. 

图 中 的 (a) 部 分 ,发端 4 将 消息 M 与 其 杂凑 值 h(M) 连接 ， 以 单 钥 体 制 加 密 ， 然 后 
送 至 收 端 B。 收 端 用 与 发 端 共 享 密 钥 解密 后 得 M' 和 h(M)， 然后 将 M 送 入 杂凑 变换 器 计 
算出 h(M')， 并 通过 比较 完成 对 消息 M 的 认证 ， 从 而 提供 了 保密 和 认证 。 

图 中 (b) 部 分 ， 消 息 M 不 保密 ， 只 对 消息 的 杂凑 值 进 行 加 解密 变换 ， 它 只 提供 

图 中 Cc) 部 分 ,发 端 4 采 用 双 钥 体制 ,用 4 的 密 钥 ,对 杂凑 值 进 行 签名 得 Bh), 
然后 与 M 连接 发 出 。 收 端 则 用 4 的 公 钥 对 EE,[h(M)] 解 密 得 到 h(M)， 再 与 收 端 自己 由 
接收 消息 M' 计 算得 到 的 h(M") 进行 比较 实现 认证 。 

本 方案 提供 了 认证 和 数字 签名 ， 称 做 签名 -杂凑 方案 (Signature-hashing Scheme)。 这 
一 方案 通过 对 消息 M 的 杂凑 值 签名 来 代 蔡 对 任意 长 消息 M 本 身 的 签名 ， 大 大 提高 了 签 
名 的 速度 和 有 效 性 。 
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M KO; © - | © -| 人 一 
比较 
| | 
K K j 
HM) 
(a) 既 提 供 保密 性 ， 又 提供 消息 认证 
M K A -|M an 7 
O A Ea 比较 
i 
ExlH(M)] 
(b) 仅 提 供 消 息 认证 
M | 
四 KR, (|l M aO 7 
比较 
KS|| 
Exr,LH(M)] 
“ot 又 提供 数字 签名 
g Ee ku, a 1 
Ex(M||Ekr [HM K 


Exp [HM )] 
(d) 既 提供 保密 性 ， 又 提供 消息 认证 和 数字 签名 


Cl) 
S—— 
H(M\|S) 


(e) 仅 提 供 消息 认证 


oP 


1 


poor 
比较 


L 


ES 


i= 比较 


H(MIIS) 
(E) 既 提供 保密 性 ， 又 提供 消息 认证 
图 6-6 ”应 用 杂凑 函数 的 基本 方式 


R 6-3 总 结 了 图 6-6 中 所 示 方 法 在 提供 机 密 性 和 认证 方面 的 特点 
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表 6-3 ”杂凑 函数 的 基本 用 途 

格 R 特 点 
提供 机 密 性 ; RA AM BIEK 
ERWE: HM) 受 密码 保护 


(a) 加 密 消息 及 hash 码 | 4>B:E,[M | HM] 


(b) 加 密 hash 码 : 


A>B:M||E,[H(M t 认 证 ; 
eaten BME (HOD) 提供 认证 ， HON 受 密码 保护 
Ce) I hash 码 ， 提供 认证 和 数字 签名 ;QI7) 受 密码 
SET AVA ASB ME [HOD] | 保护 ,只 有 4 能 产生 Es [CM] 


提供 认证 和 数字 签名 
A> BEIM || Ee [HOO] | 提供 机 密 性 只 有 4 和 BIER: 只 有 A 


Al BILE K 
aaa 4 BMIHOLNS) neues Haas 


提供 认证 : RA AA BILE S 
D ME e) A> B:E,[M || HM || S) 


64 ”常用 杂凑 函数 


(d) IN Cc) 的 结果 : 
共享 的 密 钥 


6.4.1 MD 系列 杂凑 函数 


MD 是 Message Digest Algorithm 的 简写 , MD 系列 杂凑 函数 是 由 MIT 的 Ronald Rivest 
教授 及 其 团队 提出 的 ， 该 系列 杂凑 函数 中 被 广泛 投入 使 用 的 主要 包括 MD-2,MD-4,MD-5 
三 种 算法 。MD-2 即 消息 摘要 算法 第 2 版 ， 依 此 类 推 ，MD-5 即 消息 摘要 算法 第 5 版 。 

Rivest 于 1989 提出 了 MD-2 算法 [Kaliski 等 ，1992]， 该 算法 首先 对 消息 进行 填充 
使 其 字 节 长 度 是 16 的 倍数 ， 随 后 添加 一 个 16 字 节 的 检验 和 ， 再 由 这 个 新 产生 的 消息 进 
行 计 算 。MD-2 的 计算 速度 较 慢 ， 而 且 已 被 Rogier 等 攻破 。 之 后 Rivest 还 提出 了 MD-3 
算法 ， 但 因 其 存在 缺点 ， 从 未 被 使 用 过 。 

Rivest 于 1990 年 提出 MD-4 杂凑 算法 [Rivest 1990a,1992a,1992b], MD4 算法 输入 
消息 可 任意 长 ， 输 出 为 128 位 。MD-4 也 已 经 被 证 明 是 不 安全 的 ， 但 其 影响 了 之 后 的 杂 
凑 函 数 的 设计 思想 ， 比 如 MD-5, SHA-1 和 RIPEMD 算法 。 

MD-5 Æ Rivest F 1992 年 (Rivest 等 , 1992) 提出 来 的 , 是 MD-4 的 改进 算法 , MD-5 
较 MD-4 复杂 ， 且 较 慢 ， 但 安全 性 较 高 。MD-5 是 目前 被 广泛 使 用 的 杂凑 函数 。 下 面具 
体 介 绍 MD-5 算法 ， 其 步骤 如 图 6-7 所 示 。 

(1) 对 明文 输入 按 512b 分 组 ， 最 后 要 进行 填充 使 其 成 为 512b 的 整数 倍 ， 且 最 后 一 
组 的 后 64b 用 来 表示 消息 长 在 mod2” 下 的 值 K， 故 填充 位 数 为 1 一 512b， 填 充 数字 图 样 
为 (100…0),， YY. ¥, o HH, YX 512b, Bl 16 个 长 为 32b 的 字 ， 按 字 计 消息 长 
为 N=Lx16。 
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MD, 
A H28 
512 af BY Gt 
—=(_ ABCD" f (ABCD, Yp TU---16)) ) 
AY BY cl DI 
—(ABCD"faABCD, Y, TI17…32)) ) 
AY BY Cl Dy 
|—=(ABCD'f,(ABCD, Y, 7[33…48]) ) 
AY BY CY DY 


ABCD" f(ABCD, Y, 749…64]) ) 


OOOO Omar 


128 
MD,., 
图 6-7 MD-5 的 一 个 512b 组 的 处 理 ( Ay s ) 


(2) 每 轮 输出 128b， 可 用 下 述 4 个 32b 字 表 示 : 4，B，C，D。 其 初始 存 数 以 十 六 
进 制 表 示 为 : A=01234567, B=89ABCDEF, C=FEDCBA98, D=76543210. 
G) Huws 的 运算 ， 对 512b (16 F) 组 进行 运算 ，Y 表示 输入 的 第 g 组 的 512b 数 
据 ， 在 各 轮 中 参加 运算 。7[1;…,64] 为 64 个 元 素 表 ， 分 4 组 参与 不 同 轮 的 计算 。7[] 为 
2”xabs(Sine(i)) 的 整数 部 分 ，i AIMEE. Ti] 可 用 32b 二 元 数 表示 ，7T 32b 随机 数 源 。 
MD-5 是 4 轮 运算 ， 各 轮 逻 辑 函 数 不 同 。 每 轮 又 要 进行 16 IRISH, 4 轮 共 需 64 
步 完 成 。MD-5 的 基本 运算 如 图 6-8 所 示 。 
a<b+ClS, (a+ g(B,C, D) + XIK]+T7[i]) 
式 中 : 
a,b,c,d = 缓存 器 中 的 4 个 字 ， 按 特定 次 序 变 化 。 
gg- 基本 逻辑 函数 ,G, 玉 ,7 中 之 一 ， 算 法 的 每 轮 用 其 中 之 一 。 
CLS, =32b 存 数 循环 左 移 s 位 。 
第 1 轮 s={7.12.17.22} 
第 2 轮 s={5,9,14,20} 
第 3 轮 s ={4,11,16,23} 
$ 4 $È s = {6,10,15,21} 
X[k] = M[qx16+k]=5 BAS qA 512b 组 的 第 大 个 32b 字 。 
7 四 = 矩阵 了 中 第 ;个 32b 字 。 
十 = 模 2” 加 法 。 
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| 4 


a b c d 


+ = XIN( 当 前 输入 512b 组 的 第 寻 32-b 字 ) 


+ 大 一 7 


= +) ©: mod 232 加 


图 6-8 MD-5 的 基本 运算 : [abcd ks i] 


各 轮 的 逻辑 函数 如 表 6-4 所 示 。 其 中 逻辑 函数 的 真 值 表 如 表 6-5 所 示 。7[i] 由 SINE 
函数 构造 ， 如 表 6-6 所 示 。 每 个 输入 的 32b FERA 4 次 ， 每 轮 用 一 次 ， 而 7[i] 中 每 个 
元 素 恰好 只 用 一 次 。 每 次 4, B, C, D 中 只 有 4 个 字 节 更 新 ， 共 更 新 16 次 ， 在 最 后 第 17 


次 产生 此 组 的 最 后 输出 。 
表 6-4 MD-5 各 轮 的 逻辑 函数 
轮 基本 函数 g ab, c, d) 
Fob, c, d) (ovGB.d) 
f Gb, c, d) (b-d)v(c-d) 
ae H(b, c,d) b@cOd 
FA I(b, c,d) c@(b-d) 
表 6-5 有 逻辑 函数 的 真 值 表 
b c H I 
0 0 0 1 
0 0 1 0 
0 1 1 0 
0 1 0 1 
1 0 1 1 
1 0 0 1 
1 1 0 0 
1 i 1 0 
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表 6-6 从 SINE 函数 构造 的 了 表 


T[1]=D76AA478 7[17]=F61E2562 7[33]KFFFA3942 T[49]=F4292244 
T[2]=E8C7B756 T[18}=C0408340 7T[34]=8771F681 T[50]=C32AFF97 
7[3]=242070DB T[19]-265E5A51 7T[35]=69D96122 T[51]=AB9423A7 
T[4]=C1BDCEEE 7T[20]=E9B6C7AA T[36]=FDE5380C T[52]=FC93A039 
T[5]=F57COFAF 7[21]=D62F105D T[37]=A4BEEA44 1[53]=655B59C3 
T[6]=4787C62A 7T[22]=02441453 T[38]=4BDECFA9 7[54]=8FOCCC92 
7[7]=A8304613 7T[23]=D8A1E681 T[39]=F6BB4B60 7[55]-FFEFF47D 
T[8]-FD469501 T[24]=E7D3FBC8 T[40]=BEBFBC70 7[56]-85845DD1 
7[9]-698098D8 T[25]-21E1CDE6 T[41]=289B7EC6 7[57]-6FA87E4F 
T[10]=8B44F7AF 7[26]=C33707D6 T[42]=EAA127FA 7[58]-FE2CE6E0 
7[11]=FFFFSBB1 7[27]=F4D50D87 T[43]=D4EF3085 T[59]=A3014314 
7[12]=895CD7BE 7[28]=455A14ED 7[44]=04881D05 7[60]=4E0811A1 
T[13]=6B901122 7[29]=49E3E905 7[45]=D9D4D039 7[61]=F7537E82 
T[14]=FD987193 7[30]=FCEFA3F8 [46]-E6DB99EST 7[62]=BD3AF235 
T[15]=A679438E 7[31]=676F02D9 T[47]=1FA27CF8 7[63]=2AD7D2BB 
7[16]=49B40821 7[32]=8D2A4C8A T[48]=C4AC5665 7[64]=EB86D391 


(4) MD, =IV (A,B, C, D 缓存 器 的 初始 矢量 ) 

MD,, = MD, + SAY Sa Y SeX Jr, MD, IN] 

MD = MD,，( 最 终 的 杂凑 值 )。 

MD-5 的 安全 性 依赖 于 求 具 有 相同 hash 值 的 两 个 消息 在 计算 上 是 不 可 行 的 。MD-5 
的 输出 为 128b, 若 采 用 纯 强 力 攻 击 寻 找 一 个 具有 给 定 hash 值 的 消息 , 计算 困难 性 为 2”; 
用 每 秒 可 试验 10? 个 消息 的 计算 机 计算 ， 需 耗 时 1.07x102” 年 。 若 采用 生日 攻击 法 ， 寻 找 
有 相同 hash 值 的 两 个 消息 需要 试验 2“ 个 消息 ， 用 每 秒 可 试验 10? 个 消息 的 计算 机 需 时 
585 年 。 

对 单 轮 MD-5 的 攻击 已 有 结果 。 与 Snefru 相 比 较 ， 两 者 均 为 32b 字 运 算 。Snefru 采 
FA S-BOX, XOR 函数 ,MD-5 用 mod2” 加 。 对 MD-4 的 攻击 ,可 参阅 [Biham 1992; Vaudenary 
1995; Dobbertin 1996]. Dobbertin 对 MD-4 的 攻击 计算 复杂 度 为 0(2”)。 对 MD-4 与 
MD-5 的 攻击 ， 可 参阅 相关 文献 [den Boer 等 1993]. 

2004 年 8 月 17 日 ， 在 美国 加 州 圣 巴巴 拉 召 开 的 美 密会 〈Crypto 2004) 上 ， 中 国 的 
王小云 、 汉 登 国 、 来 学 嘉和 于 红 波 4 位 学 者 宣布 ， 只 需 一 小 时 就 可 找 出 MD-5 的 碰撞 。 
此 研究 成 果 引 起 了 密码 学 界 的 强烈 反响 ， 国 际 密码 专家 称 这 是 密码 学 界 近 年 来 “最 具 实 
质 性 的 研究 进展 ”。 

虽然 MD-5 算法 已 经 不 再 使 用 ， 但 其 设计 思想 仍然 对 设计 新 的 杂凑 函数 具有 一 定 的 
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6.4.2 SHA 系列 杂凑 函数 


SHA 是 Secure Hash Algorithm 的 简写 ， 即 安全 杂凑 函数 ， 是 美国 国家 标准 技术 研究 
所 NIST) 发 布 的 国家 标准 中 所 规定 的 一 系列 杂凑 函数 算法 ， 其 既 可 用 于 数字 签名 标准 
算法 (Digital Signature Standard，DSS)， 也 可 用 于 其 他 需要 用 hash 算法 的 场景 [FIPS 180 
1993, FIPS 180-1 1993], 具有 较 高 的 安全 性 。SHA 系列 算法 有 SHA-0、SHA-1 和 SHA-2 
构成 ，SHA-0 是 1993 年 RSA 公司 提出 的 MD-5 的 改进 算法 ， 并 被 作为 美国 国家 标准 使 
用 ，SHA-0 继承 了 MD-5 结构 清晰 、 运 算 简单 快速 的 优点 ， 但 提出 后 不 久 就 被 发 现 其 算 
法 的 漏洞 ， 于 是 在 1994 年 进行 了 改进 ， 成 为 SHA-1 算法 。2002 年 NIST 又 根据 实际 情 
况 增加 3 种 杂凑 函数 算法 ， 并 根据 其 输出 长 度 的 不 同 分 别 命名 为 SHA-256、SHA384 和 
SHA512 算法 ， 统 称 为 SHA-2 算法 。 

由 于 近年 来 对 现 有 杂凑 算法 的 成 功 攻击 ，NIST 在 2007 年 正式 宣布 在 全 球 范 围 内 征 
集 新 的 下 一 代 杂 凌 密 码 算法 ， 经 过 多 轮 筛 选 ， 于 2012 年 10 月 公布 了 新 一 代 杂 凌 算 法 标 
准 一 Keccak， 即 SHA-3 算法 。 

下 面 介绍 SHA 算法 的 具体 实现 过 程 。 

SHA 的 基本 框架 与 MD-4 类 似 。 消 息 经 填充 成 为 512b 的 整数 倍 。 填 充 先 加 “1”， 
后 跟 许多 “0”， 且 最 后 64b 表示 填充 前 消息 长 度 ，( 故 填充 值 为 1~512b)。 以 5 个 32b 变 
量 作为 初始 值 〈 十 六 进 制 数 表示 ): 4=67 45 23 01, B=EF CD AB 89, C=98 BA DC FE, 
D=10 32 5476, E=C3 D2 El F0。 


1. 主 环 路 
WAY, YY, 512b 分 组 ， 每 组 有 16 个 32b 字 ， 每 送 入 512b， 先 将 4,B,C,D,E 
= AA, BB,CC,DD,EE , 进行 4 CEN, 每 轮 完成 20 个 运算 , 每 个 运算 对 4,B,C,D,E 中 
的 3 个 进行 非 线性 运算 ， 然 后 做 移 位 运算 〈 类 似 于 MD-5)， 运 算 如 图 6-9 所 示 。 每 轮 有 
一 常数 Kr， 实际 上 仅 用 4 个 常数 ， 即 
0<1<19 Ki:=5A827999 
20<1<39 Kt=6ED9EBAI 
40<t<59 Kt=8FIBBCDC 
60<t<79 = Kt=CA62C1D6 
各 轮 的 基本 运算 如 表 6-7 所 示 。 


表 6-7 SHA 各 轮 的 基本 运算 


轮 J: (B,CD) 
0<r<19 (BeOyvGeD) 
20<1<39 B@®c@D 
40<1<59 (BeCv(BeD) (C+D) 
60<1<79 了 BC@D 
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6-9 SHA 各 512b 组 的 处 理 


2. SHA 的 基本 运算 
SHA 的 基本 运算 如 图 6-10 所 示 。 每 轮 基本 运算 如 下 : 
A,B,C,D,E <(CLS,(A)+ f,(B,C,D) + E +W, + K,), A, CLS, (B), C, D 
其 中 ，4,B,C,D,E 为 5 个 32b 存储 单元 (3k 160b); 
tA, OX<1<79; 


AAA RR R 6-7 所 示 ); 

CLS,: 左 循环 移 s tits as © 

Wi: 由 当前 输入 导出 ， 为 一 个 32b 字 ; as O 

Ki: 上 述 定义 常数 ; > 

+: mod2” 加 ; Cm 
W =M,〔 输 入 的 相应 消息 字 )，0 1 <15 ; si 

W, =W, XORW, .XORW, „XORW, + Oa 


16<1<79。 
图 6-11 为 从 输入 的 16 个 32b 字 变换 成 处 理 所 | 4 | 85 | co | DE 
需 的 80 个 32b 字 的 方法 : 6-10 SHA 的 基本 运算 框图 
MD, =IV ABCD 为 缓存 器 的 初始 值 。 
MD, =SUM,,(MD,,ABCDE,), HH, ABCDE, 是 上 一 轮 第 q 消息 组 处 理 输出 的 
SEL, SUM, 是 对 输入 按 字 分 别 进行 mod2” 加 。 
MD = MD, ,， 工 是 消息 填充 后 的 总 组 数 。MD 是 最 后 的 杂凑 值 。 
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7 WW W Wg WieW, a Ws Wes Wes Wss Wn Wo 


ee 


一 


Wy W, [Ms Wis a W, 


1 


图 6-11 SHA 处 理 一 个 输入 组 时 产生 的 80 个 32b F 


SHA 与 MD-4 很 相似 ， 主 要 变化 是 增加 了 扩展 变换 ， 将 前 一 轮 的 输出 加 到 下 一 轮 ， 
以 加 速 雪崩 效应 。SHA 与 重新 设计 的 MD-5 的 差别 较 大 。 

R.L.Rivest 公开 了 MD-5 的 设计 决策 ， 但 SHA 的 设计 者 则 不 愿 公开 其 设计 。 下 面 介 
绍 MD-5 对 MD-4 的 改进 ， 并 与 SHA 进行 比较 。 

(1) MD-5“ 增 加 第 4 轮 ” SHA 也 这 样 做 了 ; 但 SHA 第 4 轮 的 轮 函数 与 第 2 轮 的 
轮 函数 一 样 。 

(2) MD-5 的 “每 个 组 都 有 唯一 的 加 常数 ”， 而 SHA 保持 MD-4 方案 ， 对 20 轮 的 每 
组 重复 使 用 其 常数 。 

(3)“ 为 了 减少 对 称 性 ，MD-5 在 第 2 轮 中 的 函数 g 从 (XY or XZ or YZ) 变 为 (XZ 
orYnot (Z))”, mi SHA 采用 MD-4 文本 (XY or XZ or YZ). 

(4) MD-5 的 每 步 都 与 前 一 步 的 结果 相 加 ， 这 使 雪崩 效应 “更 快 ”， 在 SHA 中 做 了 
相同 改动 ， 不 同 点 是 SHA 中 增加 了 第 5 个 变量 ， 且 不 是 中 已 采用 的 B，C 或 D， 这 个 
小 小 变化 使 den Boer-Bosselaers 对 MD-5 的 攻击 方法 对 SHA 无 效 。 

(5) MD-5“ 在 第 2 轮 、 第 3 轮 中 接收 输入 数据 的 次 序 有 变动 ， 使 得 这 些 图 样 之 间 彼 
此 不 相同 ” SHA 则 完全 不 同 ， 因 其 用 了 循环 纠 错 码 。 

(6) MD-5“ 每 一 轮 的 移 位 次 数 接近 于 最 佳 ， 以 产生 较 快 的 雪崩 效应 ,不 同 轮 的 移 位 
次 数 不 相 同 ” SHA 中 每 轮 的 移 位 量 不 变 ， 移 位 次 数 与 字 长 互 素 ， 这 与 MD-4 相同 。 

SHA 逻辑 函数 的 真 值 表 如 表 6-8 所 示 。 


Wr 


表 6-8 SHA 逻辑 函数 的 真 值 表 


B fa0*s9 Joo-79 
0 0 0 
0 0 1 
0 0 1 
0 i) 0 
1 0 1 
1 1 0 
1 1 0 
1 1 1 


SHA 与 MD-4、MD-5 的 比较 如 表 6-9 所 示 。 
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表 6-9 SHA 与 MD-4、MD-5 的 比较 


消息 认证 与 杂凑 函数 


MD-4 SHA MD-5 
REE 128b 160b 128b 

分 组 处 理 长 512b 512b 512b 

基本 字 长 32b 32b 32b 

步 数 48(3X16) 80(4 x 20) 64 (4X16) 
消息 长 <2™b <2 不 限 

基本 逻辑 函数 3 3 (第 2，4 轮 相同 ) 4 

常数 个 数 3 4 64 

速度 约 为 MD-4 的 3/4 约 为 MD-4 的 1/7 


总 之 ， 它 们 之 间 的 比较 可 简单 地 表示 如 下 : 
SHA=MD-4 十 扩展 变换 十 外 加 一 轮 十 更 好 的 雪崩 。 


MD-5=MD-4 十 改进 的 比特 杂凑 十 外 加 一 轮 十 更 好 的 雪崩 。 


2005 年 2 月 ， 王 小 云 等 学 者 在 SHA-1 的 破译 工作 方面 取得 了 突破 性 的 进展 ， 证 明 
SHA-1 的 碰撞 可 以 在 2” 次 运算 后 找 出， 而 不 是 之 前 大 家 普遍 预期 的 2” 次 运算 。 


643 中国 商用 杂凑 函数 SM3 


SM3 杂凑 函数 是 中 国 国家 密码 管理 局 于 2010 年 颁布 的 一 种 商用 密码 杂凑 函数 ， 消 
息 分 组 512 比特 ， 输 出 杂凑 值 256 比特 ， 采 用 Merkle-Damgard 结构 。SM3 密码 杂凑 算 
法 的 压缩 函数 与 SHA-256 的 压缩 函数 具有 相似 的 结构 ， 但 SM3 压缩 函数 的 结构 和 消息 
拓展 的 过 程 都 更 加 复杂 。 

1. 符号 、 常 量 与 函数 


SM3 杂凑 函数 使 用 了 以 下 符号 、 常 数 与 函数 。 


(1) 符号 


ABCDEFGH: 8 个 字 寄 存 器 或 它们 的 值 的 串联 
Bo: 第 i 个 消息 分 组 


CF: 压缩 函数 


FF: 布尔 函数 ， 随 /的 变化 取 不 同 的 表达 式 
GG: 布尔 函数 ， 随 j 的 变化 取 不 同 的 表达 式 
w: 初始 值 ， 用 于 确定 压缩 函数 寄存 器 的 初 态 


0: 压缩 函数 中 的 置换 函数 
: 消息 扩展 中 的 置换 函数 
: 常量 ， 随 /的 变化 取 不 同 的 值 
: 消息 

: 填充 后 的 消息 

mod, 模 运算 
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: 32 比特 与 运算 
: 32 比特 或 运算 
: 32 比特 异 或 运算 
一 : 32 比特 非 运算 
+: mod 2” 算 术 加 运算 
<<<k: 循环 左 移 上 比特 运算 
<: 左 向 赋值 运算 符 
(2) 初始 值 
IV =7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d bOfb0e4e 
(3) 常量 

_「 79004519 0<j<15 
-| 7a879d8a 16<j<63 


(4) 布尔 函数 


®<> 


ao X@YOZ 0<j<15 
r2) (XAY)v(XAZ)v(YAZ) 16< jf <63 

GG _(X,Y,Z)= Pe, ees 
Nae) (XAY)v(AX AZ) 16S j <63 


RHP X, Y, Z J 32 位 比特 串 。 
(5) 置换 函数 
P(X) = 了 ®(X<<<9) ®(X<<<17) 
P\(X)=X @(X<<<15) ® (X¥K<<<23) 
RP XH 32 位 比特 串 。 


2. 算法 描述 

对 长 度 为 1(1<2%) 比 特 的 消息 m, SM3 杂凑 算法 经 过 填充 和 迭代 压缩 , 生成 杂凑 值 ， 
杂凑 值 长 度 为 256 比特 。 

(1) 填充 

假设 消息 m 的 长 度 为 1 比特。 首先 将 比特 “1? 添加 到 消息 的 末尾 , 再 添加 个 “0”， 
是 满足 1+ 1+k = 448 mod 512 的 最 小 的 非 负 整数 。 然 后 再 添加 一 个 64 位 比特 串 ， 该 
比特 串 是 长 度 7 的 二 进 制 表示 。 填 充 后 的 消息 m 的 比特 长 度 为 512 的 倍数 。 

例如 : 对 消息 01100001 01100010 01100011， 其 长 度 1= 24， 经 填充 得 到 比特 串 : 

423 比 特 64 比 特 


01100001 01100010 01100011 1 00…00 00---011000 
1 的 二 进 制 表示 


(2) 迭代 压缩 
将 填充 后 的 消息 m' 按 512 比特 进行 分 组 ， 和 迭代 过 程 如 下 : 
m'=B B®)... pe) 
其 中 , n=(1+k+ 659/512. 
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对 Ww 按 以 下 方式 迭代 : 
FORi=0TOn-1 


Vey =CE(v®, B®°) 


ENDFOR 
其 中 ，CF 是 压缩 函数 ，1 为 256 比特 初始 值 IV，B9 为 填充 后 的 消息 分 组 ， 和 迭代 压缩 的 
ARRAY”, 

(3) 消息 扩展 

将 消息 分 组 B0 按 以 下 方法 扩展 生成 132 个 字 Wo W, Won W, Wp, Wh, M 
于 压缩 函数 CF: 

a) 将 消息 分 组 B 划分 为 16 个 字 Wo, Wi, …, Wise 

b) 

FOR j= 16 TO 67 

W, BW, 16 DW, ®(W,.s <<<15))® (Wha <<< 7) OW, 


ENDFOR 
(4) 压缩 函数 
$ A, B,C, D, E, F, G, H AFA, SS1, SS2, TT1, TT2 为 中 间 变 量 , 压缩 函数 v 
= CFV, B®), 0 <i< 1。 计算 过 程 描述 如 下 : 
ABCDEFGH eV) 
FOR j = 16 TO 63 
SSI < ((4 <<<12)+E +(1, <<< i) <<<7 
SS2 + SS1 ® (A <<< 12) 
TTI < FF, (4,B,C)+D+SS2+W; 
TT2 4 GG (E,F,G)+ H +SS1+W, 
Dec 
CeB<<<9 
Bea 
ATT 
H<G 
G & F <<<19 
FeeE 
E«P,(TT2) 
ENDFOR 
vy) — ABCDEFGH ®V") 
其 中 ,， 字 为 32 位 比特 串 ， 存 储 为 大 端 (big-endian) 格 式 。 大 端 格式 是 数据 在 内 存 中 的 一 种 
存储 格式 ,规定 左边 为 高 有 效 位 ， 右边 为 低 有 效 位 , 数 的 高 位 字 节 置 于 存储 器 的 低地 址 ， 
数 的 地 位 字 节 放 在 存储 器 的 高 地 址 。 
(5) 杂凑 值 
ABCDEFGH <V'") 
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输出 256 比特 的 杂凑 值 y= ABCDEFGH. 

(6) 示例 

为 了 推广 应 用 SM3 算法 ， 中 国 国家 密码 管理 局 在 颁布 SM3 杂凑 函数 算法 的 同时 ， 
也 给 出 了 SM3 的 实现 示例 以 及 各 步骤 中 的 详细 值 。 感 兴趣 的 读者 可 从 网 络 地 址 
http://www.oscca.gov.cn/News/201012/News_1199.htm 获取 相关 实例 信息 。 

(7) 安全 性 分 析 

就 压缩 函数 而 言 ，SM3 密码 杂凑 函数 与 SHA-256 具有 相似 的 结构 ， 但 是 SM3 算法 
的 压缩 函数 的 每 一 步 都 使 用 2 个 消息 字 ， 每 一 步 的 扩散 能 力 更 强 。 由 于 SM3 算法 的 快 
速 扩散 能 力 ， 完 整 的 SM3 算法 仍 具 有 抵抗 各 种 已 知 攻击 的 能 力 ， 具 有 非常 高 的 安全 性 。 


65 HMAC 


前 面 介绍 了 采用 对 称 分 组 密码 的 消息 认证 码 (MAC), Bll FIPS PUB 113 中 定义 的 消 
息 认 证 算法 ， 该 算法 是 构造 MAC 的 最 常用 方法 。 近 年 来 ， 人 们 对 利用 密码 杂凑 函数 来 
设计 MAC 越 来 越 感 兴趣 ， 因 为 : 

(1) 一 般 像 MD-5 和 SHA 系列 的 杂凑 函数 ， 其 软件 执行 速度 比 DES 这 样 的 对 称 分 
组 密码 要 快 。 

(2) 可 利用 密码 杂凑 函数 代码 库 。 

(3) 美国 或 其 他 国家 对 密码 杂凑 函数 没有 出 口 限制 ， 而 对 于 即使 用 于 MAC 的 对 称 
分 组 密码 都 有 出 口 限 制 。 

MD-5 这 样 的 杂凑 函数 并 不 是 专门 为 MAC 而 设计 的 。 由 于 杂凑 函数 不 依赖 于 密 钥 ， 
所 以 它 不 能 直接 用 于 MAC。 目 前 ， 将 密 钥 加 入 到 现 有 杂凑 函数 中 有 许多 方案 ，HMAC 
(RFC 2104) 是 最 受 欢 迎 的 方案 之 一 [Bellare 等 1996a，1996b]， 它 被 选 为 IP 安全 中 实现 
MAC 所 必须 使 用 的 方法 ， 并 且 其 他 因特网 协议 中 (如 SSL) 也 使 用 了 HMAC. HMAC 
目前 已 经 作为 RFC2104 草案 公布 。 


6.5.1 HMAC 的 设计 目标 


RFC 2104 给 出 了 HMAC 的 设计 目标 : 

CL) 可 不 经 修改 而 使 用 现 有 的 杂凑 函数 ， 特 别 是 那些 易于 软件 实现 的 、 源 代码 可 方 
便 获 取 且 免费 使 用 的 杂凑 函数 。 

(2) 其 中 镶嵌 的 杂 凌 函数 可 易于 蔡 换 为 更 快 或 更 安全 的 杂凑 函数 。 

G) 保持 镶嵌 的 杂凑 函数 的 最 初 性 能 ， 不 因 用 于 HMAC 而 使 其 性 能 降低 。 

(4) 以 简单 方式 使 用 和 处 理 密 钥 。 

(5) 在 对 镶嵌 的 杂凑 函数 合理 假设 的 基础 上 ， 易 于 分 析 HMAC 用 于 认证 时 的 密码 
强度 。 

前 两 个 目标 是 HMAC 为 人 们 所 接受 的 重要 原因 。HMAC 将 杂凑 函数 看 成 是 “ 黑 匣 
子 ” 有 两 个 好 处 。 第 一 ， 实 现 HMAC 时 可 将 现 有 杂凑 函数 作为 一 个 模块 ， 这 样 可 以 对 许 
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多 HMAC 代码 预先 封装 ， 并 在 需要 时 直接 使 用 ;第 二 ， 若 希望 替代 HMAC 中 的 杂凑 函 
数 ， 则 只 需要 删 去 现 有 的 杂凑 函数 模块 ， 并 加 入 新 的 模块 。 例 如 ， 当 需要 更 快 的 杂凑 函 
数 时 就 可 如 此 处 理 。 更 重要 的 是 ， 如 果 嘱 入 的 杂凑 函数 的 安全 受到 威胁 ， 那 么 只 需要 用 
更 安全 的 杂凑 函数 替换 嵌入 的 杂凑 函数 〈 如 用 SHA-1 替代 MD-5)， 仍 然 可 保持 HMAC 
的 安全 性 。 

上 述 最 后 一 个 设计 目标 实际 上 是 HMAC 优 于 其 他 基于 杂凑 函数 的 一 些 方法 的 主要 
方面 。 只 要 和 骨 入 的 杂凑 函数 有 合理 的 密码 分 析 强 度 ， 则 可 以 证 明 HMAC 是 安全 的 。 

关于 一 些 MAC 的 新 构造 法 可 参阅 相关 文献 [Bellare 等 1996a; Krawczyk 1995]， 对 
流 密码 的 认证 性 研究 可 参阅 相关 文献 [Desmedt 1985; Lai 等 1992] 。 


6.5.2 ”算法 描述 


图 6-12 是 HMAC 算法 的 运行 框图 ， 其 中 A ARAMA PHA (如 MD-5 和 SHA), 
MW HMAC 的 输入 消息 (包括 杂凑 函数 所 要 求 的 et 
HRM), Y, (O<i<L-1) 是 M 的 第 i 个 分 组 ， ipad 
工 是 M 的 分 组 数 ，b 是 一 个 分 组 中 的 比特 数 ，n 
为 有 迁 入 的 杂凑 函数 所 产生 的 杂凑 值 的 长 度 ， 天 “tr 


b bit b bit b bit 
at a 一 -一 一 


为 密 钥 ， 如 果 密 钥 长 度 大 于 5»， 则 将 密 钥 输入 到 Si wn |o LM 
杂凑 函数 中 产生 一 个 比特 长 的 密 钥 ，K* 是 左边 
经 填充 0 后 的 K，K' 的 长 度 为 n 比特 , ipad 为 b/8 j opad asi 
^A 00110110, opad W b/8 个 01011010. ISJIM) 
算法 的 输出 可 表示 如 下 : 填充 到 bbi 
HMAC, = H((K* ® opad) || H((K* ®ipad) || M)) 1 
算法 的 运行 过 程 可 描述 如 下 : So 
(1) 天 的 左边 填充 0 以 产生 一 个 b 比特 长 的 wbi 
K* 〈 例 如 天 的 长 为 160 比特 ，b=512， 则 需 填充 
44 个 0 字 节 0x00). HMAC,(M) 
PP K* 5 ipad 逐 比特 异 或 以 产生 b 比特 的 图 6-12 HMAC 的 算法 框图 
组 Si。 


(3) 将 MM 连接 到 5S, 后。 

(4) K HEATER G) 产生 的 数据 流 。 

G) 天 "与 opad 逐 比特 异 或 以 产生 b 比特 的 分 组 So 。 

(6) 将 步骤 (4) 得 到 的 杂凑 值 连接 在 5, 后。 

(7) 将 五 作用 于 步骤 (6) 产生 的 数据 流 并 输出 最 终结 果 。 

YER, K* 5 ipad 逐 比特 异 或 以 及 Ki 与 opad 逐 比特 异 或 的 结果 是 将 天 中 的 一 半 比 
FRZ, 但 两 次 取 反 的 比特 位 置 不 同 。 而 S A S, 通过 杂凑 函数 中 压缩 函数 的 处 理 ， 则 相 
当 于 以 伪 随 机 方式 从 天 产生 两 个 密 钥 。 

在 实现 HMAC 时 ， 可 预先 求 出 下 面 两 个 量 〈 如 图 6-13 所 示 ， 虚 线 以 左 为 预计 算 ); 
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f(V.(K” ®ipad)) 
其 中 ，f (cv,block) 是 杂凑 函数 中 的 压缩 函数 ， 其 输入 是 n 比特 的 链接 变量 和 b 比特 的 分 
组 ， 输 出 是 n 比特 的 链接 变量 。 这 两 个 量 的 预先 计算 只 在 每 次 更 改 密 钥 才 需 进行 。 事 实 
上 这 两 个 预先 计算 的 量 用 于 作为 杂凑 函数 的 初 值 IV。 


1 
Kt ipad 


b bit b bit 
= 一 


1 

1 

| 

1 
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图 6-13. HMAC 的 有 效 实现 
6.5.3” HMAC 的 安全 性 


基于 密码 杂凑 函数 构造 的 MAC 的 安全 性 取决 于 镶嵌 的 杂凑 函数 的 安全 性 ， 而 
HMAC 最 吸引 人 的 地 方 是 它 的 设计 者 已 经 证 明了 算法 的 强度 和 嵌入 的 杂凑 函数 的 强度 
之 间 的 确切 关系 ， 证 明了 对 HMAC 的 攻击 等 价 于 对 内 媒 杂 凑 函 数 的 下 述 两 种 攻击 之 一 : 

(1) 攻击 者 能 够 计算 压缩 函数 的 一 个 输出 ， 即 使 IV 是 随机 的 和 秘密 的 。 

(2) 攻击 者 能 够 找 出 杂凑 函数 的 碰撞 ， 即 使 IV 是 随机 的 和 秘密 的 。 

在 第 一 种 攻击 中 , 可 将 压缩 函数 视 为 与 杂 竣 函数 等 价 , 而 杂凑 函数 的 n 比特 长 IV 可 
PLA HMAC HEH. 对 这 一 杂凑 函数 的 攻击 可 通过 对 密 钥 的 穷 搜 索 来 进行 , 也 可 通过 第 
二 类 生日 攻击 来 实施 ， 通 过 对 密 钥 的 穷 搜 索 攻 击 的 复杂 度 为 0( 2” )， 通 过 第 二 类 生日 攻 
击 又 可 归结 为 上 述 第 二 种 攻击 。 

第 二 种 攻击 指 攻 击 者 寻找 具有 相同 杂凑 值 的 两 个 消息 ， 因 此 就 是 第 二 类 生日 攻击 。 
对 杂凑 值 长 度 为 的 杂凑 函数 来 说 ， 攻 击 的 复杂 度 为 0( 2"”)。 因 此 第 二 种 攻击 对 MD-5 
的 攻击 复杂 度 为 OO), 就 现在 的 技术 来 说 , 这 种 攻击 是 可 行 的 。 但 这 是 否 意味 着 MD-5 
不 适合 用 于 HMAC? 回答 是 否定 的 。 原 因 如 下 : 攻击 者 在 攻击 MD-5 时 ， 可 选择 任何 消 
息 集合 后 离线 寻找 碰撞 。 由 于 攻击 者 知道 杂凑 算法 和 默认 的 IV， 因 此 能 为 自己 产生 的 每 
个 消息 求 出 杂凑 值 。 然 而 ,在 攻击 HMAC 时 由 于 攻击 者 不 知道 密 钥 到， 从 而 不 能 离线 产 
生 消 息 和 认证 码 对 。 所 以 攻击 者 必须 得 到 HMAC 在 同一 密 钥 下 产生 的 一 系列 消息 , 并 对 
得 到 的 消息 序列 进行 攻击 。 对 长 128 比特 的 杂凑 值 来 说 , 需要 得 到 同一 密 钥 产 生 的 2“ 个 
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分 组 (2”) 比特 。 在 1Gb/s 的 链 路 上 ， 需要 250 000 年 ,因此 MD-5 完全 适合 于 HMAC, 
而 且 就 速度 而 言 ，MD-5 要 快 于 SHA (FAA MARE BA HMAC [Wiliam 2006]。 


习 是 


= 填空 题 

1. 可 以 用 来 产生 认证 符 的 函数 类 型 可 分 为 3 类 ， 分 别 为 、 和 

2. 消息 加 密 本 身 提供 了 一 种 认证 手段 。 应 用 于 消息 加 密 的 两 种 体制 分 别 
是 和 。 

3. 消息 认证 又 称 ， 也 是 一 种 ， 它 利用 来 生成 ， 


并 将 其 附加 在 消息 后 。 

4. 杂凑 函数 的 性 质 : š 5 All 3 

5. 消息 认证 码 的 函数 形式 是 ， 其 中 , M 是 KE » Cx(M) 
是 : 

6. ERAN PAE TTI: : £ 和 

7. MDS 的 实现 : (1) : 用 32b 软件 易于 高 速 实现 。(2) : 描述 
简单 ， 短 程序 可 实现 ， 易 于 对 其 安全 性 进行 评估 。(3) 

8. 美国 NIST 和 NSA 设计 的 一 种 标准 算法 ， 既 可 用 于 ， 也 可 用 于 
其 他 需要 用 算法 的 情况 。 

9. 是 中 国 国 家 密码 管理 局 于 2010 年 颁布 的 一 种 商用 密码 杂凑 函数 , 该 算法 
消息 分 组 为 ， 输 出 杂凑 值 长 度 为 » RA 结构 。 

10. RFC2104 给 出 了 HMAC 的 设计 目标 : (1) 可 不 经 修改 而 使 用 现 有 的 ; 
特别 是 那些 易于 、 源 代码 可 方便 获取 且 免 费 使 用 的 « (2) i 
(3) » (4) > (5) 在 对 向 前 的 杂凑 函数 合理 假设 的 基础 上 ， 

11. HMAC 最 吸引 人 的 地 方 是 它 的 设计 者 已 经 证 明了 和 之 间 的 确 
切 关系 , 证 明了 对 HMAC 的 攻击 等 价 于 对 的 下 述 两 种 攻击 之 一 : (1) 
(2) 

二 、 思 考题 


1. 什么 是 消息 认证 码 (MAC) ? 它 与 消息 杂凑 值 的 主要 区 别 是 什么 ? 
2. 什么 是 算 改 检测 码 (MDC) ? MDC 是 如 何 产 生 和 怎样 使 用 的 ? 消息 认证 码 
(MAC) 是 MDC E? (消息 的 ) 数字 签名 是 MDC 吗 ? 
3. 说 明 消息 认证 码 的 基本 用 途 。 
. 杂凑 函数 具有 哪些 性 质 ? 
. 列举 迭代 杂凑 函数 的 构造 方法 。 
. 为 什么 说 杂凑 函数 实际 上 是 不 可 逆 的 ? 


nn A 
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7. 对 称 和 非 对 称 数据 完整 性 技术 的 主要 区 别 是 什么 ? 

8. 设 杂 凌 函 数 的 输出 空间 大 小 为 2160b， 找 到 该 杂凑 函数 碰撞 所 花费 时 间 期 望 值 是 
什么 ? 

9. 比较 MD-4，MD-5，SHA 及 SM3 的 异同 点 。 

10. 什么 是 HMAC? HMAC 的 设计 目标 是 什么 ? 
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数字 签名 


数字 签名 在 身份 认证 、 数 据 完整 性 、 不 可 否认 性 以 及 匿名 性 等 信息 安全 领域 中 有 重 
要 应 用 ， 特 别 是 在 大 型 网 络 安全 通信 中 的 密 钥 分 配 、 认 证 ， 以 及 电子 商务 系统 中 发 挥 着 
重要 作用 。 数 字 签名 是 实现 认证 的 重要 工具 。 本 章 介 绍 数字 签名 的 基本 概念 ， 以 及 各 种 
常用 的 数字 签名 体制 ， 如 RSA，ElGamal，Schnorr，DSS 和 SM2 等 签名 体制 。 此 外 ， 还 
要 介绍 一 些 特殊 用 途 的 数字 签名 ， 如 不 可 否认 签名 、 防 失败 签名 、 盲 签名 和 群 签名 等 。 


7 下 ”数字 签名 基本 概念 


政治 、 军 事 、 外 交 等 文件 、 命 令 和 条 约 ， 商 业 契 约 以 及 个 人 书信 等 ， 传 统 上 采用 手 
书签 名 或 印章 ， 以 便 在 法 律 上 能 认证 、 核 准 、 生 效 。 随 着 计算 机 通信 网 的 发 展 ， 人 们 和 希 
望 通过 电子 设备 实现 快速 、 远 距离 的 交易 ， 数 字 (或 电子 ) 签名 法 应 运 而 生 ， 并 开始 用 
于 商业 通信 系统 ， 如 电子 邮递 、 电 子 转账 和 办 公 自 动 化 等 系统 。 

类 似 于 手书 签名 ， 数 字 签 名 也 应 满足 以 下 要 求 : 

CL) 收 方 能 够 确认 或 证 实 发 方 的 签名 ， 但 不 能 伪造 ， 简 记 为 R1- 条 件 。 

(2) 发 方 发 出 签名 的 消息 给 收 方 后 ,就 不 能 再 否认 他 所 签发 的 消息 , 简 记 为 S- 条 件 。 

G) 收 方 对 已 收 到 的 签名 消息 不 能 否认 ， 即 有 收报 认证 ， 简 记 为 R2- 条 件 。 

(4) 第 三 者 可 以 确认 收发 双方 之 间 的 消息 传送 ， 但 不 能 伪造 这 一 过 程 ， 简 记 为 
LAH. 

数字 签名 与 手书 签名 的 区 别 在 于 ， 手 书签 名 是 模拟 的 ， 且 因 人 而 异 。 数 字 签名 是 0 
和 1 的 数字 串 ， 因 消息 而 异 。 数 字 签 名 与 消息 认证 的 区 别 在 于 ， 消 息 认 证 使 收 方 能 验证 
消息 发 送 者 及 所 发 消息 内 容 是 否 被 算 改 过 。 当 收 、 发 者 之 间 没 有 利害 冲突 时 ， 这 对 于 防 
止 第 三 者 的 破坏 来 说 是 足够 了 。 但 当 收 者 和 发 者 之 间 有 利害 冲突 时 ， 单 纯 用 消息 认证 技 
术 就 无 法 解决 他 们 之 间 的 纠纷 ， 此 时 须 借助 满足 前 述 要 求 的 数字 签名 技术 。 

为 了 实现 签名 目的 ， 发 方 必须 向 收 方 提供 足够 的 非 保密 信息 ， 以 便 使 其 能 验证 消息 
的 签名 ;但 又 不 能 泄漏 用 于 产生 签名 的 机 密 信息 ， 以 防 他 人 伪造 签名 。 因 此 ， 签 名 者 和 
证 实 者 可 公用 的 信息 不 能 太 多 。 任 何 一 种 产生 签名 的 算法 或 函数 都 应 当 提 供 这 两 种 信息 ， 
而 且 从 公开 的 信息 很 难 推测 出 用 于 产生 签名 的 机 密 信息 。 此 外 ， 任 何 一 种 数字 的 实现 都 
有 赖 于 仔细 设计 的 通信 协议 。 

数字 签名 有 两 种 : 一 种 是 对 整体 消息 的 签名 ， 它 是 消息 经 过 密码 变换 的 被 签 消息 整 
体 ; 一 种 是 对 压缩 消息 的 签名 ， 它 是 附加 在 被 签名 消息 之 后 或 某 一 特定 位 置 上 的 一 段 签 
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名 图 样 。 若 按 明 、 密 文 的 对 应 关系 划分 ， 每 种 又 可 分 为 两 个 子 类 : 一 类 是 确定 性 
(deterministic) 数字 签名 ， 其 明文 与 密 文 一 一 对 应 ， 它 对 一 特定 消息 的 签名 不 变化 ， 如 
RSA 和 Rabin 等 签名 ; 另 一 类 是 随机 化 (randomized) 或 概率 式 数字 签名 ， 它 对 同一 消 
息 的 签名 是 随机 变化 的 ， 取 决 于 签名 算法 中 的 随机 参数 的 取 值 。 一 个 明文 可 能 有 多 个 合 
法 数字 签名 ， 如 ElGamal 等 签名 。 

一 个 签名 体制 一 般 含 有 两 个 组 成 部 分 : 签名 算法 (Signature Algorithm) 和 验证 算法 
(Verification Algorithm). X} m 的 签名 可 简 记 为 Sig(m) = o'， 而 对 o' 的 验证 简 记 为 
Ver(a')={ 真 ， 伪 }={0，1}。 签 名 算法 或 签名 密 钥 是 秘密 的 ， 只 有 签名 人 掌握 ;验证 算法 
应 当 公开 ， 以 便于 他 人 进行 验证 。 

一 个 签名 体制 可 由 量 CM, S, K, V) 组 成 ， 其 中 M 是 明文 空间 ，S 是 签名 的 集合 ， 
天 是 密 钥 空间 ， 严 是 验证 函数 的 值 域 ， 由 真 、 伪 组 成 。 

对 于 每 一 个 Fe 天 有 一 签名 算法 ， 易 于 计算 : 

o' =Sig,(m)E€ S (7-1) 
和 一 验证 算法 : 
Ver,(m,0")e{ 真 ， 伪 } (7-2) 
它们 对 每 一 me M ， 有 签名 Sig;(m)eS CAMS 的 映射 )。(m，o') 对 易于 验证 S 是 
BH m WEA: 
T, 4 o =Sig(m) 
th, “io #Sig(m) 

体制 的 安全 性 在 于 ， 从 m 和 其 签名 o' 难 于 推出 或 伪造 一 个 m'， 使 m' 和 o' 可 被 证 
实 为 真 。 

消息 签名 与 消息 加 密 有 所 不 同 。 消 息 加 密 和 解密 可 能 是 一 次 性 的 ， 它 要 求 在 解密 之 
前 是 安全 的 ; 而 一 个 签名 的 消息 可 能 作为 一 个 法 律 上 的 文件 ， 如 合同 等 ， 很 可 能 在 对 消 
息 签 署 多 年 之 后 才 验 证 其 签名 ， 且 可 能 需要 多 次 验证 此 签名 。 因 此 ， 人 们 对 签名 的 安全 
性 和 防伪 造 的 要 求 更 高 ， 且 要 求证 实 速度 比 签名 速度 更 快 ， 特 别 是 联机 在 线 实时 验证 。 

随 着 计算 机 网 络 的 发 展 ， 过 去 依赖 于 手书 签名 的 各 种 业务 都 可 用 这 种 电子 数字 签名 
代替 ， 它 是 实现 电子 贸易 、 电 子 支票 、 电 子 货币 、 电 子 购 物 、 电 子 出 版 及 知识 产权 保护 
等 系统 安全 的 重要 保证 。 有 关 签 名 算法 的 综合 性 介绍 可 参阅 相关 文献 [Diffie 等 1976; 
Menezes 等 1997; Mitchell 等 1992; Schneier 1996; Stinson 1995; Rivest 1990b]. 


72 RSA 签 名 体制 


Ver, (m, o") -| (7-3) 


7.2.1 体制 参数 


4n=pp,, nI p, 是 大 素数 , 令 M=S=2Z,， 选 e 并 计算 出 4d 使 ed =1modg(n), 
AF n File, 将 p、p, 和 4 保密 。K=(n,p,q,e,d)。 
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7.2.2 ”签名 过 程 
对 消息 Me 2Z,， 定 义 : 
S=Sig,(M)=M4 modn (7-4) 
为 对 M 的 签名 。 


7.2.3 ”验证 过 程 


对 给 定 的 M 和 SsS， 可 按 式 〈7-5) 验证 : 
Ver, (M.S) =H = M =S* modn (7-5) 


7.24 安全 性 


显然 ， 由 于 只 有 签名 者 知道 4， 根 据 RSA 体制 知道 其 他 人 不 能 伪造 签名 ， 但 易于 证 
实 所 给 任意 M, S) 对 是 否 由 消息 M 和 相应 签名 构成 的 合法 对 。 如 第 5 章 中 所 述 ，RSA 
体制 的 安全 性 依赖 于 n= p p, 分 解 的 困难 性 [Rivest 1978]。 

ISO/IEC 9796 和 ANSI X9.30-199X 已 将 RSA 作为 建议 数字 签名 标准 算法 [Menezes 
等 1997]。PKCS #1 是 一 种 采用 杂凑 算法 (如 MD-2 或 MD-5 等 ) 和 RSA 相 结合 的 公 钥 
密码 标准 [RSA Lab 1993; Menezes 等 1997]。 有 关 ISO/TEC 9796 安全 性 分 析 可 参阅 相关 
文献 [Guillou 等 1990]。 


73 ElGamal 签名 体制 


ElGamal 签名 体制 由 工 ElGamal 于 1985 年 提出 ， 其 修正 形式 已 被 美国 NIST 作为 数 
字 签 名 标准 (DSS)。 它 是 Rabin 体制 的 一 种 变型 ， 专 门 设计 作为 签名 用 。 方 案 的 安全 性 
基于 求 离散 对 数 的 困难 性 。 它 是 一 种 非 确定 性 的 双 钥 体制 ， 即 对 同一 明文 消息 ， 由 于 随 
机 参数 选择 不 同 而 有 不 同 的 签名 。 

7.3.1 体制 参数 

p: 一 个 大 素数 ， 可 使 Z, 中 求解 离散 对 数 为 困难 问题 

g: FEZ, PRE Z, 的 一 个 生成 元 或 本 原 元 素 ; 

M: WERN, AZ): 

S: ZARR, JZ xZ, 3 

x: ALP Axe Z) 。 


y=g" modp (7-6) 
密 钥 : 天 =(p,gq,x,y)， 其 中 p，g 和 y AH, x ABH. 
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7.3.2 ”签名 过 程 
给 定 消息 M， 发 端 用 户 进行 下 述 工 作 : 
(1) 选择 秘密 随机 数 上 ec Z; o 
(2) 计算 HM): 
r=g* mod p CED 
s =(H(M)-—xr)k™ mod ( p-1) (7-8) 
G) # Sig, M, k) =S =(r||s) 作为 签名 ， 将 M 和 (rs) 送 给 对 方 。 


7.3.3 验证 过 程 
收 信人 收 到 M，(r]|s)， 先 计算 五 (M)， 并 按 式 (7-9) 验证 : 
Ver (H(M),r,s)=Ħ = y'r =g" mod p (7-9) 
这 是 因为 yr = gex =o" modp, Hist (7-8) A: 
(rstsk)=H(M)mod(p -1) (7-10) 
WA: 
y'r =e" mod p (7-11) 
在 此 方案 中 ， 对 同一 消息 M， 由 于 随机 数 大 不 同 而 有 不 同 的 签名 值 S=(r||s) 。 
例 7-1 it p=467, g=2, x=127, WA y=g* =2'” =132mod467 。 
若 待 发 送 消息 为 M， 其 杂 闫 值 为 HCM) =100 ， 选 随机 数 =213, YER, (213, 466) =1 
H 213° mod466=431, ， 则 有 =22 =29 mod 467. s= (100-127 X29) X 431 = 
51mod 466 。 
验证 : 收 信人 先 算出 H(M) =100 ,然后 验证 132”29” =189 mod 467 , 2 =189 mod 467. 


7.3.4 安全 性 


(1) 不 知 消息 签名 对 攻击 。 攻 击 者 在 不 知道 用 户 密 钥 x 的 情况 下 ， 若 想 伪造 用 户 的 
签名 ， 可 选 + 的 一 个 值 ， 然 后 试验 相应 s 取 值 ， 为 此 必须 计算 log, g"s” 。 也 可 先 选 一 个 
s 的 取 值 ， 然 后 求 出 相应 + 的 取 值 ， 试 验 在 不 知道 + 条 件 下 分 解 方程 : 

ysiab=g" mod p 

这 些 都 是 离散 对 数 问题 。 至 于 能 否 同 时 选 出 a 和 2， 然 后 解 出 相应 M， 这 仍 面临 求 
离散 对 数 问题 ， 即 需 计 算 log。 y'r o 

(2) 已 知 消息 签名 对 攻击 。 假 定 攻击 者 已 知 Cls) EWE M 的 合法 签名 。 Oh, ij 
是 整数 ， 其 中 h 宇 0 ,ij 三 p-2， 且 (hr 一 js,p 一 ])=1。 攻 击 者 可 计算 


r'=r"y' mod p (7-12) 
s'=sA(hr — js)" mod (p-1) (7-13) 
M'=2(hM + is)(hr — js)* mod ( p-1) (7-14) 


则 (ls) 是 消息 M 的 合法 签名 。 但 这 里 的 消息 是 M'， 并非 是 攻击 者 选择 的 利于 他 的 消 
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息 。 如 果 攻 击 者 要 对 其 选 定 的 消息 得 到 相应 的 合法 签名 ， 仍 然 面 临 求 离散 对 数 的 问题 。 
如 果 攻 击 者 掌握 了 同一 随机 数 > 下 的 两 个 消息 M, M M, 的 合法 签名 Ci ||) A C Ilb) 
则 由 : 

M, =7,k +s,rmod (p—1) (7-15) 

M, =17,k+s,rmod (p—1) (7-16) 
就 可 以 解 出 用 户 的 密 钥 k 因此 在 实用 中 ， 对 每 个 消息 的 签名 都 应 变换 随机 数 ke, 而 且 对 
某 消息 M 签名 所 用 的 随机 数 不 能 泄漏 ， 否 则 将 可 由 式 《7-10) 解 出 用 户 的 密 钥 x。 目 
Bi, ANSI X9.30-199X 已 将 ElGamal 签名 体制 作为 签名 标准 算法 。 


7.4 Schnorr 签名 体制 


Schnorr C 于 1989 年 提出 一 种 签名 体制 一 一 Schnorr 签名 体制 。 

74.1 体制 参数 

p q: 大 素数 ，g|p 一 1，g 是 大 于 等 于 160b 的 整数 ，p 是 大 于 等 于 512b 的 整数 ， 
保证 Z, 中 求解 离散 对 数 困难 ; 

g: Z 中 元 素 ， 且 8? =1modp; 

x: FAP BHA, l<x<q; 

y: 用 户 公 钥 ，y=g* modp; 

消息 空间 m= 2Z%， 签 名 空间 s= 2 xZ; 密 钥 空间 

k={(p.9.8.x,y): y = g” mod p} (7-17) 


74.2 ”签名 过 程 


令 待 签 消息 为 M， 对 给 定 的 M 做 下 述 运算 : 
C1) 签名 用 户 任 选 一 秘密 随机 数 上 e Z, 。 


(2) 计算 : 
r=g* modp (7-18) 
s=k+xemod p (7-19) 
AH: 
e=H(r||M) (7-20) 


G) 将 消息 M 及 其 签名 S=Sig,(M)=(ells) 送 给 收 信人 。 


7.4.3 ”验证 过 程 
收 信人 收 到 消息 M REZ S= (ells) Ja: 
(1) 计算 
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r'=g" yf modp (7-21) 
然后 计算 HT || M) 。 
(2) 验证 
Ver(M,r,s) <=> H(r' || My =e (7-22) 
AW, ells) M 的 合法 签名 ， 则 有 gy =e" "oe" =e" =rmodp, x (7-22) 
必 成 立 。 


744 Schnorr 签名 与 EIGamal 签名 的 不 同 点 


(1) 在 EIGamal 体制 中 ，g WZ, 的 本 原 元 素 ; 在 Schnorr 体制 中 ，g AZ, 中 子 集 Z; 
的 本 原 元 素 ， 它 不 是 Z; 的 本 原 元 素 。 显 然 EIGamal 的 安全 性 要 高 于 Schnorr。 


有 关 Schnorr 签名 的 各 种 变型 可 参阅 相关 文献 [Brickell 等 1992]。De Rooij[1991, 
1993] 对 Schnorr 方案 的 安全 性 进行 了 分 析 。 

(2) Schnorr 的 签名 较 短 ， 由 |g| 及 | 万 (M) | 决定 。 

G) 在 Schnorr 签名 中 ，+ =g*modp 可 以 预先 计算 , 与 M 无关， 因而 签名 只 需 一 
次 mod g 乘法 及 减法 。 所 需 计 算 量 少 、 速 度 快 ， 适 用 于 智能 卡 应 用 。 

例 7-2 ”选取 素数 g4=101，P=7879(g|zP-D ， 生 成 元 g=170 ， 选 取 私 钥 x=75， 
计算 公 钥 y= 170” mod 7879 = 4567， 设 选 定 的 哈 希 函数 为 H, A 的 公开 参数 为 《7879， 
101, 170, 4567) 及 态 ， 私 钥 为 75。 假 设 要 签名 的 消息 为 x ， 签 名 如 下 : 

(1) FAP! 4 选取 随机 数 =50， 计 算 +=g*modp=170”mod7879=2518。 

(2) 计算 e= 玉 (ml|7)= 玉 (m1|2518)， 假 设计 算 的 结果 为 066 依赖 于 所 选取 的 哈 希 
函数 )。 

(3) 计算 s=50+75x96mod101=79。 

(4) 签名 结果 为 le, s) = (96，97)。 

签名 验证 : 计算 r=170”x4567” mod 7879 = 2518; REER e = H(m|r') =e EB 
成 立 。 如 果 相 等 ， 则 接受 签名 。 


75 DSS 签名 标准 


7.5.1 概况 


DSS 签名 标准 是 1991 年 8 月 由 美国 NIST 提出 ，1994 年 5 月 19 日 正式 公布 ，1994 
年 12 月 1 日 正式 采用 的 美国 联邦 信息 处 理 标准 。 其 中 采用 了 第 6 章 中 介绍 的 SHA， 其 
安全 性 基于 求 离散 对 数 的 困难 性 。 SHA 是 在 ElGamal 和 Schnor[1991] 两 个 方案 基础 上 设 
it. DSS (Digital Signature Standard) 中 采用 的 算法 简 记 为 DSA (Digital Signature 
Algorithm)。 此 算法 由 D. W. Kravitz wit. 

这 类 签名 标准 具有 较 好 的 兼容 性 和 适用 性 ， 已 成 为 网 络 安全 体系 的 基本 构件 之 一 。 
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75.2 ”签名 和 验证 签名 的 基本 框图 

图 7-1 (a) 和 (b) 分 别 示 出 了 RSA (LUC) 签名 体制 和 DSS 签名 体制 的 基本 框图 。 
其 中 ，h: hash 运算 ; M: 消息 ; E: WE; D: 解密 ; Ko: 用 户 密 钥 ;Kup: AMPAH; 
Kuc: 部 分 或 全 局 用 户 公 钥 ; k: 随机 数 。 


四 一 一 省 一 划一 一 人 


Ex, (AU) 
m Oa © i 
K US K, u 


(a) RSA( 或 LUC) 签 名 体制 


(b) DSS 签名 体制 
7-1 RSA 和 DSS 签名 体制 示意 图 


7.5.3 ”算法 描述 


(1) 全 局 公 钥 (Cp, q g): 

p: #E2L-1<p<2L PNKRM, 512 <L<1024, ， 按 64b 递增 ; 

q: (P-D 的 素 因 子 ， 且 22 <qg<2% ， 即 字 长 160b; 

g: g=h’'modp, Hl<h<(p-l), WEA?” mod p>1. 

(2) 用 户 密 钥 x: x 为 在 0<x<g 内 的 随机 或 拟 随 机 数 。 

G) 用 户 公 钥 y: y= 8* modp. 

(4) 用 户 对 每 个 消息 用 的 秘密 随机 数 k: 在 0<k<g 内 的 随机 或 拟 随机 数 。 
(5) 签名 过 程 : 对 消息 M esZ; ， 其 签名 为 


S=Sig (Mk) = (r,s) (7-23) 

HH, Sez xZ.» 
r =(g* mod p)modq (7-24) 
s =[K> (AM) + xr)]modq (7-25) 


(6) 验证 过 程 : 计算 
w=s modg; u,=[h(M)w]modq; 
u, =rwmodq ; v=[(g"y'"*)mod p]modq 
Ver(M,r,s)=Ħ &©v=r (7-26) 
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754 DSS 签名 和 验证 框图 
图 7-2 为 DSS 签名 和 验证 框图 。 


pqg M 


1 


a 证 


z 


(a) 签名 (b) 证 实 
图 7-2 DSS 签名 和 验证 框图 


7.5.5 公众 反应 


RSA Data Security Inc (DSI) 想 以 RSA 算法 作为 标准 ， 因 而 它 对 此 反应 强烈 。 在 标 
准 公 布 之 前 ， 它 就 指出 ， 采 用 公用 模 可 能 使 政府 能 够 伪造 签名 。 许 多 大 的 软件 公司 早已 
得 到 RSA 的 许可 证 ， 从 而 反对 DSS。 主 要 批评 意见 如 下 : 

(1) DSA 不 能 用 于 加 密 或 密 钥 分 配 。 

(2) DSA 是 由 NSA 开发 的 ， 算 法 中 可 能 设 有 陷 门 。 

(3) DSA 比 RSA 慢 。 

(4) RSA 已 是 一 个 实际 上 的 标准 ， 而 DSS 与 现行 国际 标准 不 相 容 。 

(5) DSA 未 经 公开 选择 过 程 ， 还 没有 足够 的 时 间 进 行 分 析 证 明 。 

(6) DSA 可 能 侵犯 了 其 他 专利 (如 Schnorr 签名 算法 和 Diffie-Hellman 的 公 钥 密 钥 分 配 
算法 )。 

(7) 由 512b 所 限定 的 密 钥 量 太 小 ， 现 已 改 为 凡是 512~1024b 中 可 被 64 除 尽 的 数 ， 
均 可 供 使 用 。 有 关 批 评 意 见 可 参阅 相关 文献 [Smid 等 1992a]. 

75.6 ”实现 速度 

预计 算 : 随机 数 > 与 消息 无 关 ， 选 一 数 串 k， 预 先 计 算出 其 x。 对 也 可 这 样 做 。 
预计 算 大 大 加 快 了 DSA 的 速度 。DSA 和 RSA 的 比较 如 表 7-1 所 示 。 

表 7-1 DSA 和 RSA 比较 
DSA RAAT p. a 8 

Bim Om Coral 

mem | mws | mog | s 

预计 算 4s 

签字 0.035s 

证 实 10s 

TER: 脱 卡 〈OffCard) 计算 以 33MHz 的 80386 PC, S 是 脱 卡 秘密 参数 ， 模 皆 为 512b。 


NIST 曾 给 出 一 种 求 DSA 体制 所 需 素数 的 建议 算法 ， 这 一 体制 是 在 ElGamal 体制 基 
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础 上 构造 的 有关 ElGamal 体制 安全 性 讨论 也 涉及 DSA, 如 秘密 随机 数 大 若 被 重复 使 用 ， 
则 有 被 破译 的 危险 性 。 大 范围 用 户 采 用 同一 公共 模 会 成 为 众矢之的 。Simmons[1993a， 
1993b] 还 发 现 ，DSA 可 能 会 提供 一 个 潜 信 道 。 还 有 人 提出 对 DSA 的 各 种 修正 方案 [Yen 
1994; Nyberg 等 1993]。 


76 ”中 国 商 用 数字 签名 算法 SM2 


SM2 椭圆 曲线 数字 签名 算法 是 2010 年 12 月 由 我 国 国家 密码 管理 局 正式 公布 的 商用 
数字 签名 标准 。 同 时 公布 的 还 包含 加 解密 算法 和 密 钥 交换 协议 。 该 组 椭圆 曲线 密码 算法 
已 经 广泛 应 用 在 多 类 商用 密码 产品 之 中 。 本 节 仅 介绍 数字 签名 算法 ， 其 他 算法 在 相关 章 
节 中 介绍 ， 全 面 详 细 的 介绍 请 参见 SM2 标准 。 


7.6.1 体制 参数 


(1) 选择 一 个 椭圆 曲线 。 国 家 密码 管理 局 在 SM2 椭圆 曲线 公 钥 密 码 算法 中 推荐 使 用 
的 曲线 为 256 位 素数 域 GF(p) 上 的 椭圆 曲线 。 方 程 形式 为 :，y? =x +ax+b。 具 体 曲 线 参 
数 可 见 本 书 5.6.1 节 内 容 。 

(2) REAP A WA, e[1,n 一 1 和 用 户 A WAH R, =[d,]G = (x44) 0 

G) 选择 一 个 密码 杂 凌 算法 ， 设 为 及 ,() 。 表 示 摘 要 长 度 为 v 比特 的 密码 杂凑 函数 。 
如 国家 密码 管理 局 发 布 的 SM3 算法 。 

(4) 选择 一 个 安全 的 随机 数 发 生 器 , 建议 选用 国家 密码 管理 局 批准 的 随机 数 发 生 器 。 

(5) 假设 签名 者 A 具有 长 度 为 entien, 比特 的 可 辨别 标识 ID4， 记 ENTL, 是 由 整数 
entlen, 转换 而 成 的 两 个 字 节 。 在 椭圆 曲线 数字 签名 算法 中 ， 签 名 者 和 验证 者 都 需要 用 密 
码 杂凑 函数 求 得 用 户 A 的 杂凑 值 Z = Hoss (ENTLa||JD4|| al| bl| xal ye || x4l| 0。 


76.2 ”签名 过 程 


假设 待 签名 的 消息 为 M ， 为 了 获取 消息 M 的 数字 签名 (r,s)， 作 为 签名 者 的 用 户 A 
应 执行 以 下 运算 步 又 

a) $M =Z |M; 

(2) HHe=H, (M), HH e BRR ER, 

(3) 用 随机 数 发 生 器 产生 随机 数 太 <[Lz-]H; 

(4) 计算 椭圆 曲线 点 (= [AIG ， 并 将 六 的 数据 类 型 转换 为 整数 ; 

(5) 计算 r=(e+%)modn， 若 r=0 或 7+k=n 则 返回 步骤 (3); 

(6) HH s=(1+d,)"-(k-r-d,))modn, 4s =0 WjR AR (3); 

(7) 将 r、s 的 数据 类 型 转换 为 字 节 串 ， 消 息 M 的 签名 为 (7,5) 。 

为 了 帮助 读者 理解 ， SM2 标准 也 给 出 了 数字 签名 生成 算法 流程 , 具体 如 图 7-3 所 示 。 
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用 户 A 的 原始 数据 
( 帆 圆 曲线 系统 参数 、 Z4、M、 Py dy) 


T 
第 ] 步 : 置 MEZ4M 


1 
第 2 步 : 计算 -Hv( M) 


1 
第 3 步 : 产生 随机 数 k € [1,n-1] — 


1 
第 4 步 : 计算 椭圆 曲线 点 (x , y1) © [HIG 


第 5 步 : 计算 r=( e+x,)mod n 


| 
ee 


‘i 


BOW: it Bs=(1+d,) |. (k- r-d,))mod n 


s=0? 


输出 消息 M 及 其 数字 签名 (7,s) 


7-3 数字 签名 生成 算法 流程 


7.6.3 ”验证 过 程 

为 了 检验 收 到 的 消息 M 及 其 数字 签名 (x",s") , 作为 验证 者 的 用 户 B 应 实现 以 下 运算 
步 又: 

(1) 检验 x"e[1,n 一 1] 是 否 成 立 ， 车 不 成 立 则 验证 不 通过 ; 

(2) 检验 s'e[l,n 一 1] 是否 成 立 ， 若 不 成 立 则 验证 不 通过 ; 

G) BM'=Z,||M'; 

(4) 计算 e =H, (17)， 将 e' 的 数据 表示 为 整数 ; 

(5) 将 xr" 和 s' 的 数据 转换 为 整数 ， 计 算 1= (xs )mod n， 车 +=0， 则 验证 不 通过 ; 

(6) 计算 椭圆 曲线 点 (x )=[s]G+[]P 

(7) 将 立 的 数据 转换 为 整数 ， 计 算 尽 = (e+ 半 )mod n， 检验 有 R= x' 是 否 成 立 ， 若 成 
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为 了 帮助 读者 理解 , SM2 标准 也 给 出 了 数字 签名 生成 算法 流程 , 具体 如 图 7-4 所 示 。 


(椭圆 


用 户 B 的 原始 数据 


线 系统 参数 、Z4、 Pa M's ) ) 


Į 


第 1 步 : 检验 r'E [yr le GR 


re[l.n-1]? 


第 2 步 : 检验 s'E [Ly lA 


1 是 


第 3 步 : EM =Z AM 


1 


第 4 步 : 计算 e'=Hy(M' ) 


1 


第 5 步 : 计算 1=(r'+s' mod n 


1-0? 


La 


第 6 步 : 计算 椭圆 曲线 点 
(x! +y Dls GTP, 


f 


第 7 步 : 计算 R=(e' +x,') mod n 


Fim 


764 签名 实例 


1 


1 


验证 不 通过 


图 7-4 数字 签名 验证 算法 流程 


为 了 推广 应 用 SM2 算法 ， 中 国 国家 密码 管理 局 在 颁布 SM2 公 钥 密码 算法 时 ， 分 别 
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给 出 了 SM2 数字 签名 算法 在 两 类 椭圆 曲线 上 消息 签名 和 验证 的 实例 , 以 及 各 步骤 中 的 详 
细 值 。 感 兴趣 的 读者 可 从 Web 地 址 http://www.oscca.gov.cn/News/201012/News_1197.htm 
获取 相关 实例 信息 。 


77 ”具有 特殊 功能 的 数字 签名 体制 


7.7.1 不 可 否认 签名 


1989 年 ， 由 Chaum 和 Antwerpen 引入 的 不 可 否认 签名 具有 一 些 特殊 性 质 ， 非 常 适 
用 于 某 些 应 用 。 其 中 最 本 质 的 是 在 无 签名 者 合作 的 条 件 下 不 可 能 验证 签名 ， 从 而 可 以 防 
止 复 制 或 散布 他 所 签 文件 的 可 能 性 ， 这 一 性 质 使 产权 拥有 者 可 以 控制 产品 的 散发 。 这 在 
电子 出 版 物 的 知识 产权 保护 中 将 大 有 用 场 。 

普通 数字 签名 可 以 精确 地 被 复制 ， 这 对 于 如 公开 声明 之 类 文件 的 散发 是 必需 的 ， 但 
对 另 一 些 文件 如 个 人 或 公司 信件 , 特别 是 有 价值 文件 的 签名 ,如果 也 可 随意 复制 和 散发 ， 
就 会 造成 灾难 。 这 时 就 需要 不 可 否认 签名 。 

在 签名 者 合作 下 才能 验证 签名 ， 这 会 给 签名 者 一 种 机 会 ， 即 在 不 利于 他 时 ， 他 可 以 
拒绝 合作 ， 以 达到 和 否认 他 曾 签署 过 此 文件 的 目的 。 为 了 防止 此 类 事件 发 生 ， 不 可 否认 签 
名 除了 采用 一 般 签名 体制 中 的 签名 算法 和 验证 算法 〈 或 协议 ) 外 ， 还 需要 第 3 个 组 成 部 
分 ， 即 否认 协议 (Disavowal Protocol)， 签 名 者 可 利用 和 否认 协议 向 法 庭 或 公众 证 明 一 个 伪 
造 的 签名 确实 是 假 的 ， 如果 签 名 者 拒绝 参与 执行 否认 协议 ， 就 表明 签名 确实 是 由 他 签 
署 的 。 

有 关 不 可 否认 签名 体制 ， 可 参考 Chaum 和 Antwerpen 的 文章 [Chaum 等 1989] 和 王 
育 民 等 的 书 [ 王 育 民 等 1999]。 

不 可 否认 签名 可 以 和 秘密 共享 体制 组 合 使 用 ， 成 为 一 种 分 布 式 可 变换 不 可 否认 签名 
(Distributed Convertible Undeniable Signature), 它 由 一 组 人 中 的 几 个 人 参与 协议 执行 来 验 
证 某 人 的 签名 。 相 关内 容 可 参阅 相关 文献 [Pederson 1991; Harn 等 1992; Sakano 等 
1993]。 有 关 不 可 否认 签名 , 还 可 参阅 文献 [Chaum 1991, 1995; Okamoto 等 1994; Boyar 
等 1991]。 


7.7.2” 防 失败 签名 


防 失败 (Fail Stop) 签名 由 B.Pfitzmann 和 M.Waidner[Pfitzmann 等 1991] 引 入 。 这 
是 一 种 强化 安全 性 的 数字 签名 , 可 防范 有 充足 计算 资源 的 攻击 者 。 当 4 的 签名 受到 攻击 ， 
甚至 分 析出 4 的 密 钥 条 件 下 ， 也 难于 伪造 4 的 签名 ，4 也 难以 对 自己 的 签名 进行 抵赖 。 

防 失 败 签名 体制 可 参考 van Heyst 和 Pederson[van Heyst 等 1992] 所 提 方 案 。 它 是 一 
种 一 次 性 签名 方案 。 即 给 定 密 钥 只 能 签署 一 个 消息 。 它 由 签名 、 验 证 和 “对 伪造 的 证 明 ” 
(Proof of Forgery) 算法 等 3 部 分 组 成 。 

有 关 防 失败 签名 体制 还 可 参阅 相关 文献 [Pfitzmann 等 1991; Damgard 等 1997]。 
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对 于 一 般 的 数字 签名 来 说 ， 签 名 者 总 是 要 先知 道 文件 内 容 而 后 才 签 署 ， 这 正 是 通常 
所 需要 的 。 但 有 时 需要 某 人 对 一 个 文件 签名 ， 但 又 不 让 他 知道 文件 内 容 ， 把 这 种 签名 称 
HEZA (Blind Signature)。 盲 签名 的 概念 是 由 Chaum[Chaum 1983] 最 先 提 出 的 ， 在 选 
举 投票 和 数字 货币 协议 中 将 会 碰 到 这 类 要 求 。 利 用 盲 变换 可 以 实现 盲 签名 ， 如 图 7-5 所 


不 。 


HEM 言 变 搞 | MM -| 等 名 [S] 


7-5 言 签名 框图 


任何 盲 签 名 , 都 必须 利用 分 割 -选择 原则 。Chaum 提出 一 种 更 复杂 的 算法 来 实现 盲 签 
名 。 后 来 他 还 提出 了 一 些 更 复杂 但 更 灵活 的 盲 签名 法 。 

有 关 讶 签名 的 各 种 方案 可 参阅 相关 文献 [Camenisch 等 1994; Horster 1995; 
Stadler 等 1995]。 讶 签名 在 新 型 电子 商务 系统 中 将 有 重要 应 用 [Chaum 1989, 1990; 
Chaum 1989; Okamoto 1995 ]。 


7.7.4” 群 签名 


群体 密码 学 (Group Oriented Cryptography) 由 Desmedt 于 1987 年 提出 。 它 是 研究 
面向 社团 或 群体 中 所 有 成 员 需 要 的 密码 体制 。 在 群体 密码 中 ， 有 一 个 公用 的 公 钥 ， 群 体 
外 面 的 人 可 以 用 它 向 群体 发 送 加 密 消息 ， 密 文 收 到 后 ， 由 群体 内 部 成 员 的 子 集 共同 进行 
解密 。 本 节 介 绍 群 体 密码 学 中 有 关 签 名 的 一 些 内 容 。 

HE (Group Signature) 是 面向 群体 密码 学 的 一 个 课题 ，1991 年 由 Chaum 和 van 
Heyst 提出 。 它 有 下 述 几 个 特点 : 只 有 群 中 成 员 能 代表 群体 签名 ;接收 到 签名 的 人 可 以 
用 公 钥 验证 群 签名 ， 但 不 可 能 知道 由 群体 中 哪个 成 员 所 签发 生 争议 时 ， 由 群体 中 的 成 
员 或 可 信赖 机 构 识 别 群 签名 的 签名 者 。 

例如 ， 这 类 签名 可 用 于 项 目 投标 。 所 有 公司 应 邀 参加 投标 ， 这 些 公司 组 成 一 个 
群体 ， 且 每 个 公司 都 匿名 地 采用 群 签名 对 自己 的 标书 签名 。 当 选中 了 一 个 满意 的 标 
书后 ， 招 标 方 就 可 识别 出 签名 的 公司 ， 而 其 他 标书 仍 保持 匿名 。 中 标 者 若 想 反悔 已 
无 济 于 事 ， 因 为 在 没有 他 参加 下 仍 可 以 正确 识别 出 他 的 签名 。 这 类 签名 还 可 在 其 他 
类 似 场 合 使 用 。 

群 签名 也 可 以 由 可 信赖 的 中 心 协助 执行 ， 中 心 掌握 各 签名 人 与 所 签名 之 间 的 相关 信 
息 ， 并 为 签名 人 匿名 签名 保密 ; 有 争执 时 ， 可 以 由 签名 识别 出 签名 人 [Chaum 1991]. 

Chaum 和 Heyst[Chaum 等 1990] 曾 提出 4 种 群 签名 方案 。 其 中 ， 有 的 由 可 信赖 中 心 
协助 实现 群 签名 功能 ， 有 的 采用 不 可 否认 并 结合 否认 协议 实现 。 

Chaum 所 提 方 案 ， 不 仅 可 由 群体 中 一 个 成 员 的 子 集 一 起 识别 签名 者 ， 还 可 允许 群体 
在 不 改变 原 有 系统 各 密 钥 下 添加 新 的 成 员 。 

群 签名 目标 是 对 签名 者 实现 无 条 件 匿名 保护 ， 且 又 能 防止 签名 者 的 抵赖 ， 因 此 称 其 
为 群体 内 成 员 的 匿名 签名 (Anonymity Signature) 更 合适 些 [Chen 1994; Chen 等 1994]。 


解 言 变换 | 一 一 SO) 
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前 面 已 介绍 过 不 可 抵赖 签名 ， 这 里 介绍 在 一 个 群体 中 由 多 个 人 签署 文件 时 能 实现 不 
可 抵赖 特性 的 签名 问题 。Desmedt 等 提出 的 实现 方案 多 依赖 于 门限 公 钥 体制 。 

一 个 面向 群体 的 (t，n) 不 可 抵赖 签名 ， 其 中 + 是 阐 值 ，n 是 群体 中 成 员 总 数 ， 和 群体 
有 一 公用 公 钥 。 签 名 时 也 必须 有 + 人 参与 才能 产生 一 个 合法 的 签名 ， 而 在 验证 签名 时 也 
必须 至 少 有 群体 内 成 员 合作 参与 下 才能 证 实 签名 的 合法 性 。 这 是 一 种 集体 签名 共同 负责 
制 。L.Ham 和 S.Yang[Harn 等 1992] 提 出 了 一 种 :=1 和 +=n 的 方案 。D.Wang[Wang 1996] 
AHTS Sn 的 两 种 方案 。 


775 代理 签名 


代理 (proxy) 签名 是 某 人 授权 其 代理 进行 的 签名 。 在 不 将 其 签名 密 钥 交 给 代理 人 的 
条 件 下 ， 如 何 实现 委托 签名 呢 ? Mambo 等 [1995] 提 出 了 一 种 解决 办 法 ， 能 够 使 代理 签名 
具有 如 下 特点 : 

(1) 不 可 区 分 性 〈distinguishability)， 代 理 签名 与 某 人 通常 签名 不 可 区 分 。 

(2) 不 可 伪造 性 (unforgeability)， 只 有 原来 签名 人 和 所 托付 的 代理 签名 人 可 以 建立 
合法 的 委托 签名 。 

(3) 代理 签名 的 差异 〈deviation)， 代 理 签 名 者 不 可 能 制造 一 个 合法 代理 签名 不 被 检 
测 出 它 是 一 个 代理 签名 。 

(4) 可 证 实 性 (verifiability)， 签 名 验证 人 可 以 相信 委托 签名 就 是 原 签名 人 认可 的 签 
名 消息 。 

(5) 可 识别 性 (identifiability)， 原 签名 人 可 以 从 委托 签名 确定 出 代理 其 签名 人 的 身 
份 。 

(6) 不 可 抵赖 性 (undeniability)， 代 理 签 名 人 不 能 抵赖 他 所 建立 的 已 被 接受 的 委托 
签名 。 

有 时 可 能 需要 更 强 的 可 识别 性 , 即 任何 人 可 以 从 委托 签名 确定 出 代理 签名 人 的 身份 。 
有 关 具 体 实现 算法 可 参阅 相关 文献 [Mambo 等 1995]。 


776 指定 证 实 人 的 签名 


一 个 机 构 中 指定 一 个 人 负责 证 实 所 有 人 的 签名 ， 任 何 成 员 所 签 的 文件 都 具有 不 可 否 
认 性 ,但 证 实 工作 均 由 指定 人 完成 ， 这 种 签名 称 做 指定 证 实 人 的 签名 (Designated 
Confirmer Signatures)， 它 是 普通 数字 签名 和 不 可 否认 数字 签名 的 折 中 。 签 名 人 必须 限定 
由 谁 才能 证 实 他 的 签名 ; 但 是 ， 如 果 让 签名 人 完全 控制 签名 的 实施 ， 他 可 能 会 用 肯定 或 
否定 方式 拒绝 合作 ， 他 也 可 能 为 此 宣布 密 钥 丢 失 ， 或 可 能 根本 不 提供 签名 。 指 定 证 实 人 
签名 ， 可 以 给 签名 人 一 种 不 可 否认 签名 的 保护 ， 但 又 不 会 让 他 滥用 这 类 保护 。 这 种 签名 
也 有 助 于 防止 签名 失效 ， 例 如 ， 在 签名 人 的 签名 密 钥 确实 丢失 ， 或 在 他 休假 、 病 倒 甚 至 
已 去 世 时 都 能 对 其 签名 提供 保护 。 

指定 证 实 人 的 签名 可 以 用 公 钥 体制 结合 适当 的 协议 设计 来 实现 。 证 实 人 相当 于 仲裁 
角色 ， 他 将 自己 的 公 钥 公 开 ， 任 何人 对 某 文件 的 签名 都 可 以 通过 他 来 证 实 。 有 关 具 体 算 
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法 可 参阅 相关 文献 [Okamoto 等 1994]。 
7.7.7 一 次 性 数字 签名 


若 数 字 签 名 机 构 至 多 只 能 对 一 个 消息 进行 签名 ， 否 则 签名 就 可 被 伪造 ， 这 种 签名 被 
称 做 一 次 性 (One Time) 签名 体制 。 在 公 钥 签名 体制 中 ， 它 要 求 对 每 个 消息 都 要 用 一 个 
新 的 公 钥 作 为 验证 参数 。 一 次 性 数字 签名 的 优点 是 产生 和 证 实 都 较 快 ， 特 别 适 用 于 要 求 
计算 复杂 性 低 的 芯片 卡 。 有 关 一 次 性 数字 签名 ， 人 们 已 提出 几 种 实现 方案 ， 如 Rabin 一 
次 性 签名 方案 、Merkle 一 次 性 签名 方案 、GMR 一 次 性 签名 方案 、Bos 等 的 一 次 性 签名 方 
案 。 这 类 方案 多 与 可 信赖 第 三 方 相 结 合 ， 并 通过 认证 树 结构 实现 [Menezes 等 1997]。 


7.7.8” 双 有 理 签名 方案 


Shamir 在 1993 年 提出 了 双 有 理 签名 方案 [Shamir 1993]，Coppersmith 对 其 进行 了 攻 
击 和 分 析 研 究 ， 具 体内 容 可 参见 相关 文献 [Coppersmith 等 1997]。 


78 ”数字 签名 的 应 用 


数字 签名 方案 常 因 不 同 的 应 用 而 异 ， 本 文 将 在 后 续 章节 中 介绍 数字 签名 在 协议 中 的 
各 种 各 样 的 应 用 ， 如 数字 签名 应 用 在 认证 的 密 钥 建立 协议 、 数 字 证 书 与 公 钥 基 础 设施 等 
应 用 场景 中 。 


4 A 
一 、 填 空 题 
- 类 似 手书 签名 ， 数 字 签 名 也 应 满足 ` ` 和 
. 按 明 、 密 文 的 对 应 关系 划分 ， 数 字 签名 可 以 分 为 和 


. RSA 签名 体制 的 安全 性 依赖 于 。 
. ElGamal 签名 体制 的 安全 性 依赖 于 。 
. 不 可 否认 签名 的 本 质 是 è 
. 群 签名 是 面向 ， 其 目的 是 

7. SM2 是 国家 密码 管理 局 于 2010 年 颁布 的 基于 密码 算法 ， 具 体 
包括 两 个 算法 1 个 协议 ， 分 别 是 和 R 

二 、 思 考题 

1. 分 析 RSA 算法 存在 的 安全 缺陷 。 

2. 查找 并 阅读 SM2 椭圆 曲线 公 钥 密码 算法 标准 ， 了 解 算 法 流程 ， 构 思 一 种 SM2 数 
字 签名 算法 的 应 用 场景 。 

3. 比较 ElGamal 签名 体制 与 SM2 签名 算法 的 异同 。 


nu fk wWwN 一 
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4. 比较 RSA 签名 体制 、ElGamal 签名 体制 和 Schnorr 签名 体制 的 异同 。 

5. 比较 签名 标准 算法 DSA 与 EIGamal 签名 体制 的 异同 。 

6. 编程 实现 SM2 椭圆 曲线 数字 签名 方案 。 

7. 什么 是 不 可 否认 签名 、 防 失败 签名 、 盲 签名 和 群 签名 ? 

8. 当 签 名 与 加 密 结 合 时 ， 有 两 种 顺序 : 一 种 是 先 加 密 后 签名 ， 另 一 种 是 先 签名 后 加 
密 ， 试 比较 这 两 种 方式 的 安全 性 。 
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84 ”协议 的 基本 概念 


在 现实 生活 中 ， 人 们 对 协议 并 不 陌生 ， 人 们 都 在 自觉 或 不 自觉 地 使 用 各 种 协议 。 例 
如 ， 在 处 理 国 际 事务 时 ， 国 家 政府 之 间 通 常 要 遵守 某 种 协议 ， 在 法 律 上 ， 当 事 人 之 间 常 
常 要 按照 规定 的 法 律 程序 去 处 理 纠纷 ， 在 打 扑 克 、 电 话 订 货 、 投 票 或 到 银行 存 /取款 时 ， 
都 要 遵守 特定 的 协议 。 由 于 人 们 能 够 熟练 地 使 用 这 些 协 议 来 有 效 地 完成 所 要 做 的 事情 ， 
所 以 很 少 有 人 去 深入 地 考虑 它们 。 

PX (protocol) 指 两 个 或 两 个 以 上 的 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 
步骤 。 这 个 定义 包含 3 层 含义 : 第 一 ， 协 议 自始至终 是 有 序 的 过 程 ， 每 一 步骤 必须 依次 
执行 。 在 前 一 步 没 有 执行 完 之 前 ， 后 面 的 步骤 不 可 能 执行 。 第 二 ， 协 议 至 少 需要 两 个 参 
与 者 。 一 个 人 可 以 通过 执行 一 系列 的 步骤 来 完成 某 项 任务 ， 但 它 不 构成 协议 。 第 三 ， 通 
过 执行 协议 必须 能 够 完成 某 项 任务 。 即 使 某 些 东西 看 似 协议 ， 但 没有 完成 任何 任务 ， 也 
不 能 称 为 协议 ， 只 不 过 是 浪费 时 间 的 空 操作 。 

在 讨论 之 前 ， 首 先 对 协议 的 参与 者 做 表 8-1 所 示 的 定义 。 

表 8-1 协议 中 可 能 的 参与 者 及 其 作用 

其 在 协议 中 所 发 挥 的 作用 
在 所 有 协议 中 ， 她 是 第 一 参与 者 
在 所 有 的 协议 中 ， 他 是 第 二 参与 者 
在 三 方 或 四 方 协议 中 ， 他 是 参与 者 之 一 
在 三 方 或 四 方 协议 中 ， 他 是 参与 者 之 一 
窃听 者 
恶意 的 主动 攻击 者 
可 信赖 的 仲裁 者 
监察 官 ， 他 将 在 某 些 协议 中 保护 Alice 和 Bob 
证 明 者 
验证 者 


协议 的 参与 者 
Alice 
Bob 


Carol 


Dave 


Eve 


Mallory 


Trent 


Walter 


Peggy 
Victor 


8.1.1 仲裁 协议 
仲裁 者 (Arbitrator) 是 某 个 公正 的 第 三 方 。 在 执行 协议 的 过 程 中 ， 其 他 各 方 均 信赖 
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fi “AE” 意味 着 仲裁 者 对 参与 协议 的 任何 一 方 没有 偏向 ， 而 “可 信赖 ”意味 着 参与 协 
议 的 所 有 人 均 认为 他 所 说 的 话 都 是 真 的 ， 他 所 做 的 事 都 是 正确 的 ， 并 且 他 将 完成 协议 赋 
予 他 的 任务 。 仲 裁 者 能 够 帮助 两 个 互 不 信赖 的 实 


= 体 完成 协议 ， 如 图 8-1 所 示 。 
在 现实 生活 中 ， 律 师 常常 被 认为 是 仲裁 者 。 


5° | Sin, Alice 要 卖 汽车 给 陌生 人 Bob， 而 Bob 想 
图 8-1 仲裁 协议 用 支票 付 账 。 在 Alice 将 车 交 给 Bob 之 前 ， 他 必 
须 查 清 支票 的 真 伪 。 同 样 ，Bob 也 不 相信 Alice， 在 没有 获得 车 主权 之 前 ， 也 不 愿 将 支票 
交 给 Alice。 
这 时 ， 就 需要 一 个 为 双方 信赖 的 律师 来 帮助 他 们 完成 交易 。Alice 和 Bob 可 以 通过 
执行 以 下 协议 来 确保 彼此 不 受 欺 骗 : 
(1) Alice 将 车 主权 和 钥匙 交 给 律师 。 
(2) Bob 将 支票 交 给 Alice。 
(3) Alice 在 银行 兑现 支票 。 
(4) 在 规定 的 时 间 内 ， 车 证 明 支 票 是 真 的 ， 律 师 将 车 主权 和 钥匙 交 给 Bob; 若 证 明 
支票 是 假 的 ，Alice 将 向 律师 提供 确切 的 证 据 ， 此 后 律师 将 车 主权 和 钥匙 交还 给 Alice。 
在 这 一 协议 中 ，Alice 相信 在 她 弄 清 支票 的 真 伪 之 前 律师 不 会 将 车 主权 交 给 Bob, 一 
且 发 现 支票 有 假 ， 律 师 还 会 将 车 主权 归还 她 ，Bob 也 相信 律师 在 支票 兑现 后 ， 将 把 车 主 
权 和 钥匙 交 给 他 。 在 协议 中 ， 律 师 只 起 担保 代理 作用 ， 他 并 不 关心 支票 的 真 伪 。 
银行 也 可 以 充当 仲裁 人 的 角色 。 通 过 执行 以 下 协议 ，Bob 可 以 从 Alice 手中 买 到 车 ; 
(1) Bob 开 一 张 支票 并 将 其 交 给 银行 。 
(2) 在 验 明 Bob 的 钱 足 以 支付 支票 上 的 数目 后 ， 银 行将 保 付 支票 交 给 Bob。 
G) Alice 将 车 主权 和 钥匙 交 给 Bob. 
(4) Bob 将 保 付 支票 交 给 Alice. 
(5) Alice 兑现 支票 。 
这 个 协议 是 有 效 的 ， 因 为 Alice 相信 银行 开具 的 证 明 。 同 时 ，Bob 也 相信 银行 不 会 
将 他 的 钱 用 于 其 他 不 正当 的 场合 。 
然而 ， 在 计算 机 领域 中 ， 让 计算 机 充当 仲裁 人 时 ， 会 遇 到 如 下 一 些 新 的 问题 : 
o 在 计算 机 网 络 中 ,彼此 互 不 信赖 的 通信 双方 进行 通信 时 ， 也 需要 某 台 计算 机 充当 
仲裁 者 。 但 是 ， 由 于 计算 机 网 络 的 复杂 性 ， 使 得 互相 怀疑 的 通信 双方 很 可 能 也 怀 
疑 作为 仲裁 者 的 计算 机 。 
。 在 计算 机 网 络 中 ， 要 设立 一 个 仲裁 者 ， 就 要 像 聘请 律师 一 样 付出 一 定 的 费用 。 然 
而 ， 在 网 络 环境 下 ， 没 有 人 愿意 承担 这 种 额外 的 开销 。 
e 当 协 议 中 引入 仲裁 者 时 ， 会 增加 时 延 。 
e 由 于 仲裁 者 需要 对 每 一 次 会 话 加 以 处 理 ， 它 有 可 能 成 为 系统 的 瓶颈 。 在 实现 时 ， 
增加 仲裁 者 的 数目 可 能 会 缓解 这 个 问题 ， 但 是 这 会 增加 系统 的 造价 。 
。 在 网 络 中 ， 由 于 每 个 人 都 必须 信赖 仲裁 者 ， 因 此 它 也 就 成 为 攻击 者 攻击 的 焦点 。 
。 在 具有 仲裁 的 协议 中 ， 仲 裁 人 的 角色 由 Trent 来 担任 。 
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8.1.2 ”裁决 协议 


由 于 在 协议 中 引入 仲裁 人 会 增加 系统 的 造价 ， 所 以 在 实际 应 用 中 ， 通 常 引入 另外 一 
种 协议 ， 称 为 裁决 协议 。 只 有 发 生 纠纷 时 ， 裁 决 人 才 执 行 此 协议 ， 而 无 纠纷 发 生 时 ， 并 
不 需要 裁决 人 的 参与 ， 如 图 8-2 所 示 。 


Alice om Bobi p====== i Trent 
证 据 证 据 


图 8-2 裁决 协议 


与 仲裁 人 一 样 ， 裁决 人 (adjudicator) 也 是 一 个 公正 的 、 可 信赖 的 第 三 方 。 他 不 像 仲 
裁 者 一 样 直接 参与 协议 。 例 如 ， 法 官 是 职业 裁决 人 。Alice 和 Bob 在 签署 合同 时 ， 并 不 
需要 法 官 的 参与 。 但 是 ， 当 他 们 之 间 发 生 纠纷 时 ， 就 需要 法 官 来 裁决 。 

合同 签署 协议 可 以 规范 地 做 如 下 表述 : 

无 仲裁 的 子 协议 : 

(1) Alice 和 Bob 协商 协议 的 条 款 。 

(2) Alice 签署 这 个 合同 。 

(3) Bob 签署 这 个 合同 。 

裁决 子 协 议 : 

(1) Alice 和 Bob 出 现在 法 官 面前 。 

(2) Alice 向 法 官 提供 她 的 证 据 。 

(3) Bob 向 法 官 提供 他 的 证 据 。 

(4) 法 官 根据 双方 提供 的 证 据 进行 裁决 。 

在 计算 机 网 络 环境 下 ， 也 有 裁决 协议 。 这 些 协 议 建立 在 各 方 均 是 诚实 的 基础 之 上 。 
但 是 ， 当 有 人 怀疑 发 生 欺骗 时 ， 可 信赖 的 第 三 方 就 可 以 根据 所 存在 的 某 个 数据 项 判定 是 
否 存在 欺骗 。 一 个 好 的 裁决 协议 应 该 能 够 确定 欺骗 者 的 身份 。 注 意 ， 裁 决 协议 只 能 检测 
欺骗 是 否 存在 ， 而 不 能 防止 欺骗 的 发 生 。 


8.1.3 自动 执行 协议 
自动 执行 协议 是 最 好 的 协议 。 协 议 本 身 就 保证 了 公平 性 ， 如 图 8-3 所 示 。 这 种 协议 
不 需要 仲裁 者 的 参与 ， 也 不 需要 裁决 者 来 解决 争端 。 如 果 协 议 中 的 一 方 试图 欺骗 另 一 方 ， 
那么 另 一 方 会 立刻 检测 到 该 欺骗 的 发 生 ， 并 停止 执行 协议 。 
[Peh 
图 8-3 自动 执行 协议 


今天 ， 人 们 越 来 越 多 地 使 用 计算 机 网 络 进行 交流 。 计 算 机 能 够 代 蔡 人 们 完成 要 做 的 
事情 ， 但 是 它 必须 按照 事先 设计 的 协议 来 执行 。 人 可 以 对 新 的 环境 做 出 相应 的 反应 ， 而 
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计算 机 却 不 能 。 在 这 一 点 上 ， 计 算 机 几乎 无 灵活 性 可 言 。 

因此 ,协议 应 该 对 所 要 完成 的 某 项 任务 的 过 程 加 以 抽象 。 无 论 对 PC 还 是 对 VAX 机 
来 说 ， 所 采用 的 通信 协议 都 是 相同 的 。 这 种 抽象 不 仅 可 以 大 大 提高 协议 的 适应 性 ， 也 可 
以 使 人 们 十 分 容易 地 辨别 协议 的 优 务 。 协 议 不 仅 应 该 具有 很 高 的 运行 效率 ， 而 且 应 该 具 
有 行为 上 的 完整 性 。 在 设计 协议 时 ， 应 该 考虑 到 完成 某 项 任务 时 可 能 发 生 的 各 种 情况 ， 
并 对 其 做 出 相应 的 反应 。 

因此 ， 一 个 好 的 协议 应 该 具有 以 下 特点 : 

a) 协议 涉及 的 每 一 方 必 须 事先 知道 此 协议 以 及 要 执行 的 所 有 步骤 。 

(2) 协议 涉及 的 每 一 方 必 须 同意 遵守 协议 。 

G) 协议 必须 是 非 模糊 的 。 对 协议 的 每 一 步 都 必须 确切 定义 ， 力 求 做 到 避免 产生 
误解 。 

(4) 协议 必须 是 完整 的 。 对 每 一 种 可 能 发 生 的 情况 都 要 做 出 反应 。 

(5) 每 一 步 操 作 要 么 是 由 一 方 或 多 方 进行 计算 ， 要 么 是 在 各 方 之 间 进 行 消息 传递 ， 
二 者 必 居 其 一 。 

许多 面对面 的 协议 依赖 于 人 出 场 来 保证 真实 性 和 安全 性 。 例 如 ， 购 物 时 ， 不 可 能 将 
支票 交 给 陌生 人 ;与 他 人 玩 扑 克 时 ， 必 须 保证 亲眼 看 到 他 洗 牌 和 发 牌 。 然 而 ， 当 通过 计 
算 机 与 远 端 的 用 户 进行 交流 时 ， 真 实 性 和 安全 性 便 无 法 保证 。 实 际 上 ， 不 仅 难以 保证 使 
用 计算 机 网 络 的 所 有 用 户 都 是 诚实 的 ， 而 且 也 难以 保证 计算 机 网 络 的 管理 者 和 设计 者 都 
是 诚实 的 。 只 有 通过 使 用 规范 化 的 协议 ， 才 可 以 有 效 地 防止 不 诚实 的 用 户 对 网 络 实施 的 
各 种 攻击 。 

从 上 面 的 讨论 可 知 ， 计 算 机 网 络 中 使 用 的 好 的 通信 协议 ， 不 仅 应 该 具有 有 效 性 、 公 
平 性 和 完整 性 ， 而 且 应 该 具有 足够 高 的 安全 性 。 通 常 把 具有 安全 性 功能 的 协议 称 为 安全 
协议 。 安 全 协议 的 设计 必须 采用 密码 技术 。 因 此 ， 有 时 也 将 安全 协议 称 做 密码 协议 。 

密码 协议 与 许多 通信 协议 的 显著 区 别 在 于 它 使 用 了 密码 技术 。 在 进行 密码 协议 的 设 
计时 ， 常 常 要 用 到 某 些 密码 算法 。 密 码 协议 所 涉及 的 各 方 可 能 是 相互 信赖 的 ， 也 可 能 彼 
此 互 不 信任 。 当 成 千 上 万 的 用 户 在 网 络 上 进行 信息 交互 时 ， 会 给 网 络 带 来 严重 的 安全 问 
题 。 例 如 ， 非 法 用 户 不 必 对 网 络 上 传输 的 信息 解密 ， 就 可 能 利用 网 络 协议 自身 存在 的 安 
全 缺陷 ， 获 取 合法 用 户 的 某 些 机 密 信息 〈 如 用 户口 令 、 密 钥 、 用 户 身 份 号 等 )， 从 而 冒充 
合法 用 户 无 偿 使 用 网 络 资源 ， 或 窃取 网 络 数据 库 中 的 秘密 用 户 文档 。 因 此 ， 设 计 安 全 、 
有 效 的 通信 协议 ， 是 密码 学 和 通信 和 领域 中 一 个 十 分 重要 的 研究 课题 。 密 码 协议 的 目标 不 
仅仅 是 实现 信息 的 加 密 传输 ， 而 更 重要 的 是 为 了 解决 通信 网 的 安全 问题 。 参 与 通信 协议 
的 各 方 可 能 想 分 享 部 分 秘密 来 计算 某 个 值 、 生 成 某 个 随机 序列 、 向 对 方 表 明 自己 的 身份 ， 
或 签订 某 个 合同 。 在 协议 中 采用 密码 技术 ， 是 防止 或 检测 非法 用 户 对 网 络 进行 窃听 和 欺 
骗 攻 击 的 关键 技术 措施 。 所 谓 协 议 是 安全 的 ， 意 味 着 非法 用 户 不 可 能 从 协议 中 获得 比 协 
议 自 身 所 体现 的 更 多 的 、 有 用 的 信息 。 

在 后 面 几 节 里 ， 将 要 讨论 许多 密码 协议 。 其 中 ， 有 些 协议 是 不 安全 的 ， 可 能 会 导致 
参与 协议 的 一 方 欺 骗 男 一 方 。 还 有 一 些 协议 窃听 者 可 以 攻破 或 者 能 从 中 获取 某 些 秘密 信 
息 。 造 成 协议 失败 的 原因 有 多 种 ， 最 主要 的 是 因为 协议 的 设计 者 对 安全 需求 的 定义 研究 
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得 不 够 透彻 , 并 且 对 设计 出 来 的 协议 缺乏 足够 的 安全 性 分 析 。 正 像 密码 算法 的 设计 一 样 ， 
要 证 明 协 议 的 不 安全 性 要 比 证 明 其 安全 性 容易 得 多 。 


82 ”安全 协议 分 类 及 基本 密码 协议 


迄今 ， 尚 未 有 人 对 安全 协议 进行 过 详细 的 分 类 。 其 实 ， 将 密码 协议 进行 严格 分 类 并 
非 易 事 。 从 不 同 的 角度 出 发 ， 就 有 不 同 的 分 类 方法 。 例 如 ， 根 据 安全 协议 的 功能 ， 可 以 
将 其 分 为 认证 协议 、 密 钥 建立 〈 交 换 、 分 配 ) 协议 、 认 证 的 密 钥 建 立 〈 交 换 、 分 配 ) 协 
议 ; 根据 ISO 的 7 层 参 考 模型 ， 又 可 以 将 其 分 成 高 层 协议 和 低层 协议 ， 按 照 协议 中 所 采 
用 的 密码 算法 的 种 类 ， 又 可 以 分 成 双 钥 〈 或 公 钥 ) 协议 、 单 钥 协议 或 混合 协议 等 。 作 者 
认为 ， 比 较 合理 的 分 类 方法 是 应 该 按照 密码 协议 的 功能 来 分 类 ， 而 不 管 协议 具体 采用 何 
种 密码 技术 。 因 此 ， 把 密码 协议 分 成 以 下 3 类 : 

(1) 密 钥 建立 协议 (Key Establishment Protocol): 通信 双方 建立 共享 秘密 。 

(2) 认证 协议 (Authentication Protocol): 一 个 实体 向 与 其 通信 的 另 一 个 实体 提供 其 
身份 的 可 信 性 。 

(3) 认证 的 密 钥 建 立 协议 〈Authenticated Key Establishment Protocol): 与 另 一 身份 
已 被 或 可 被 证 实 的 实体 之 间 建 立 共享 秘密 。 

下 面 对 这 3 类 协议 进行 详细 讨论 。 


8.2.1 密 钥 建立 协议 


密 钥 建立 协议 可 在 两 个 或 多 个 实体 之 间 建 立 共享 的 秘密 ， 该 共享 秘密 可 用 于 数据 加 
密 ， 通 常用 做 建立 一 次 通信 时 的 会 话 密 钥 。 下 面 将 主要 讨论 在 两 个 实体 之 间 建 立 共享 秘 
密 的 协议 问题 。 它 可 以 采用 单 钥 、 双 钥 技术 实现 ， 有 时 也 要 借助 于 可 信赖 第 三 者 的 参与 。 
可 以 将 其 扩展 到 多 方 共享 密 钥 ， 如 会 议 密 钥 建立 ， 但 随 着 参与 方 增多 ， 协 议会 迅速 变 得 
很 复杂 。 

在 保密 通信 中 ， 通 常 对 每 次 会 话 都 采用 不 同 的 密 钥 进 行 加 密 。 因 为 这 个 密 钥 只 用 于 
对 某 个 特定 的 通信 会 话 进行 加 密 ， 所 以 被 称 为 会 话 密 钥 。 会 话 密 钥 只 在 通信 的 持续 范围 
内 有 效 ， 当 通信 结束 后 , 会 话 密 钥 会 被 清除 。 如 何 将 这 些 会 话 密 钥 分 发 到 会 话 者 的 手中 ， 
是 本 节 要 讨论 的 问题 。 

1. 采用 单 钥 体制 的 密 钥 建 立 协议 

密 钥 建 立 协议 主要 可 分 为 密 钥 传 输 协议 和 密 钥 协商 协议 ， 前 者 是 将 一 个 实体 建立 或 
收 到 的 密 钥 安全 传送 给 另 一 个 实体 ， 而 后 者 是 由 双方 〈 或 多 方 ) 共同 提供 信息 建立 起 共 
享 密 钥 ， 任 何 一 方 都 不 起 决定 作用 。 其 他 如 密 钥 更 新 、 密 钥 推 导 、 密 钥 预 分 配 、 动 态 密 
钥 建立 机 制 等 都 可 由 上 述 两 种 基本 密 钥 建立 协议 变化 得 出 。 

可 信赖 服务 器 (或 可 信赖 第 三 方 、 认 证 服务 器 、 密 钥 分 配 中 心 KDC、 密 钥 传 递 中 心 
KTC、 证 书 发 行 机 构 CA 等 ) 可 以 在 初始 化 建立 阶段 、 在 线 实时 通信 或 两 者 都 有 的 情 
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况 下 参与 密 钥 分 配 。 

这 类 协议 假设 网 络 用 户 Alice 和 Bob 各 自 都 与 密 钥 分 配 中 心 KDC〔 在 协议 中 扮演 
Trent 的 角色 ) 共享 一 个 密 钥 。 这些 密 钥 在 协议 开始 之 前 必须 已 经 分 发 到 位 。 在 下 面 的 讨 
论 中 ， 并 不 关心 如 何 分 发 这 些 共享 密 铀 ， 仅 假设 它们 早已 分 发 到 位 ， 而 且 Mallory 对 它 
们 一 无 所 知 。 协 议 描述 如 表 8-2 所 示 。 

表 8-2 采用 单 钥 体制 的 密 钥 建立 协议 
密 钥 建立 协议 一 一 采用 单 钥 体制 
(1) Alice 呼叫 Trent， 并 请 求 得 到 与 Bob 通信 的 会 话 密 钥 。 
(2) Trent 生成 一 个 随机 会 话 密 铀 ， 并 做 两 次 加 密 : 一 次 是 采用 Alice 的 密 钥 ， 另 一 次 是 采用 Bob 
的 密 钥 。Trent 将 两 次 加 密 的 结果 都 发 送 给 Alice。 
G) Alice 采用 共享 密 钥 对 属于 她 的 密 文 解密 ， 得 到 会 话 密 钥 。 
(A) Alice 将 属于 Bob 的 那 项 密 文 发 送 给 他 。 
(5) Bob 对 收 到 的 密 文 采用 共享 密 钥 解密 ， 得 到 会 话 密 钥 。 
(6) Alice 和 Bob 均 采 用 该 会 话 密 钥 进行 安全 通信 。 


此 协议 的 安全 性 ， 完 全 依赖 于 Trent 的 安全 性 。Trent 可 能 是 一 个 可 信赖 的 通信 实 
体 ， 更 可 能 是 一 个 可 信赖 的 计算 机 程序 。 如 果 Mallory 买通 了 Trent， 那 么 整个 网 络 的 
机 密 就 会 泄漏 。 由 于 掌握 了 所 有 用 户 与 Trent 共享 的 密 钥 ，Mallory 就 可 以 阅读 所 有 过 
去 截获 的 消息 和 将 来 的 通信 业务 。 他 只 需 对 通信 线路 搭 线 ， 就 可 以 窃听 所 有 加 密 的 消 
息 流 。 

上 述 协议 存在 的 另外 一 个 问题 是 : Trent 可 能 成 为 影响 系统 性 能 的 瓶颈 ， 因 为 每 次 进 
行 密 钥 交换 时 ， 都 需要 Trent 的 参与 。 如 果 Trent 出 现 问题 ， 就 会 影响 整个 系统 的 正常 
工作 。 


2. 采用 双 钥 体制 的 密 钥 建立 协议 
在 实际 应 用 中 ，Bob 和 Alice 常 采用 双 钥 体制 来 建立 某 个 会 话 密 钥 ， 此 后 采用 此 会 
话 密 钥 对 数据 进行 加 密 。 在 某 些 具体 实现 方案 中 ，Bob 和 Alice 的 公 钥 被 可 信赖 的 第 三 
方 签名 后 ， 存 放 在 某 个 数据 库 中 。 这 就 使 密 钥 建 立 协议 变 得 更 加 简单 。 即 使 Alice 从 未 
听 说 过 Bob， 她 也 能 与 其 建立 安全 的 通信 联系 。 协 议 描 述 如 表 8-3 所 示 。 
表 8-3 采用 双 钥 体制 的 密 钥 建 立 协议 
密 钥 建立 协议 一 一 采用 双 钥 体制 
(1) Alice 从 数据 库 中 得 到 Bob 的 公 钥 。 
(2) Alice 生成 一 个 随机 的 会 话 密 钥 ， 采 用 Bob 的 公 钥 加 密 后 ， 发 送 给 Bob。 
(3) Bob 采用 其 私 钥 对 Alice 的 消息 进行 解密 。 
(4) Bob fil Alice 均 采用 同一 会 话 密 钥 对 通信 过 程 中 的 消息 加 密 。 


3. 中 间 人 攻击 (Men-in-the-middle Attack) 


当 Eve 找 不 到 比 攻破 双 钥 算法 或 对 密 文 实施 唯 密 文 攻击 更 好 的 方法 时 , Mallory 的 攻 
击 显得 更 加 危险 。 他 不 仅 能 够 窃听 Alice 和 Bob 之 间 交 换 的 消息 ， 而 且 能 够 算 改 消息 ， 


210 


a 第 8 章 密码 协议 ED 


删除 消息 ， 甚 至 生成 全 新 的 消息 。 当 Bob 与 Alice 会 话 时 ，Mallory 可 以 冒充 Bob; 4 
Alice 与 Bob 会 话 时 ，Mallory 可 以 冒充 Alice。 这 就 是 中 间 人 攻击 。Mallory 对 协议 的 攻 
击 如 下 : 

(1) Alice 发 送 她 的 公 钥 给 Bob. Mallory 截获 这 一 公 钥 ， 并 将 他 自己 的 公 钥 发 送 给 
Bob. 

(2) Bob 发 送 他 的 公 钥 给 Alice。Mallory 截获 这 一 公 钥 ， 并 将 他 自己 的 公 钥 发 送 给 
Alice。 

(3) 当 Alice 采用 “Bob” 的 公 钥 对 消息 加 密 并 发 送 给 Bob 时 ，Mallory 会 截获 到 它 。 
由 于 这 条 消息 实际 上 是 采用 了 Mallory 的 公 钥 进行 加 密 ， 因 此 他 可 以 采用 其 私 钥 进 行 解 
密 ， 并 采用 Bob 的 公 钥 对 消息 重新 加 密 后 发 送 给 Bob。 

(4) 4 Bob 采用 “Alice” 的 公 钥 对 消息 加 密 并 发 送 给 Alice 时 ，Mallory 会 截获 到 它 。 
由 于 这 条 消息 实际 上 是 采用 了 Mallory 的 公 钥 进行 加 密 ， 因 此 他 可 以 采用 其 私 钥 进行 解 
密 ， 并 采用 Alice 的 公 钥 对 消息 重新 加 密 后 发 送 给 Alice。 

即使 Alice 和 Bob 的 公 钥 存放 在 数据 库 中 ， 这 一 攻击 仍然 有 效 。Mallory 可 以 截获 
Alice 的 数据 库 查 询 指令 ， 并 用 其 公 钥 替换 Bob 的 公 钥 。 同 样 ， 他 也 可 以 截获 Bob 的 数 
据 库 查询 指令 并 用 其 公 钥 蔡 代 Alice 的 公 钥 。 更 为 严重 的 是 , Mallory 可 以 进入 数据 库 中 ， 
将 Alice 和 Bob 的 公 钥 均 蔡 换 成 他 自己 的 公 钥 。 此 后 ， 他 只 须 等 待 Alice 与 Bob 会 话 ， 
截获 并 算 改 消息 。 

中 间 人 攻击 之 所 以 起 作用 ， 是 因为 Alice 和 Bob 没有 办 法 来 验证 他 们 正在 与 另 一 方 
会 话 。 假设 Mallory 没有 产生 任何 可 以 察觉 的 网 络 时 延 , 那么 Alice 和 Bob 不 会 知道 有 人 
正在 他 们 之 间 阅 读 所 有 的 秘密 信息 。 


4. 联 锁 协 议 
联 锁 协 议 (Interlock Protocol) 由 R. Rivest 和 A. Shamir 设计 [Rivest 等 1984]， 该 协 
议 能 够 有 效 地 抵抗 中 间 人 攻击 。 协 议 描述 如 表 8-4 所 示 。 
表 8-4 联 锁 协 议 

密 钥 建立 协议 一 一 联 锁 协 议 
C1) Alice 发 送 她 的 公 钥 给 Bob. 
(2) Bob 发 送 他 的 公 钥 给 Alice。 
(3) Alice 用 Bob 的 公 钥 对 消息 加 密 。 此 后 ， 她 将 一 半 密 文 发 送 给 Bob. 
(4) Bob 用 Alice 的 公 钥 对 消息 加 密 。 此 后 ， 他 将 一 半 密 文 发 送 给 Alice。 
(5) Alice 发 送 另 一 半 密 文 给 Bob。 
(6) Bob 将 Alice 的 两 半 密 文 组 合 在 一 起 ， 并 采用 其 私 钥 解密 。Bob 发 送 他 的 另 一 半 密 文 给 Alice. 
(7) Alice 将 Bob 的 两 半 密 文 组 合 在 一 起 ， 并 采用 其 私 钥 解密 。 


这 个 协议 最 重要 的 一 点 是 : 当 仅 获得 一 半 而 没有 获得 另 一 半 密 文 时 ， 这 些 数据 对 攻 
击 者 来 说 毫 无 用 处 ， 因 为 攻击 者 无 法 解密 。 在 第 6) 步 以 前 ，Bob 不 可 能 读 到 Alice 的 
任何 一 部 分 消息 。 在 第 (7) 步 以 前 ，Alice 也 不 可 能 读 到 Bob 的 任何 一 部 分 消息 。 要 做 
到 这 一 点 ， 有 以 下 几 种 方法 : 
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(1) 如 果 加 密 算法 是 一 个 分 组 加 密 算法 , 每 一 半 消 息 可 以 是 输出 的 密 文 分 组 的 一 半 。 

(2) 对 消息 解密 可 能 要 依赖 于 某 个 初始 化 矢量 ， 该 初始 化 矢量 可 以 作为 消息 的 第 二 
半 发 送 给 对 方 。 

G) 发 送 的 第 一 半 消 息 可 以 是 加 密 消息 的 单 向 杂凑 函数 值 ， 而 加 密 的 消息 本 身 可 以 
作为 消息 的 另 一 半 。 

现在 来 分 析 Mallory 是 如 何 对 此 协议 进行 攻击 的 。Mallory 仍然 可 以 在 第 (1) 和 (2) 
步 中 用 他 的 公 钥 来 替代 Alice 和 Bob HAH., 但 是 现在 ， 当 他 在 第 (3) 步 中 截获 到 Alice 
的 一 半 消 息 时 ， 他 既 不 能 对 其 解密 ， 也 不 能 用 Bob 的 公 钥 重新 加 密 。 他 必须 产生 一 个 全 
新 的 消息 ， 并 将 其 一 半 发 送 给 Bob。 当 他 在 第 (4) 步 中 截获 Bob 发 给 Alice 的 一 半 消 息 
时 ， 他 会 遇 到 相同 的 问题 ， 即 : 他 既 不 能 对 其 解密 ， 也 不 能 用 Alice 的 公 钥 重新 加 密 。 
他 必须 产生 一 个 全 新 的 消息 ， 并 将 其 一 半 发 送 给 Alice。 当 Mallory 在 第 (5) 和 (6) 步 
中 截获 到 真正 的 第 二 半 消 息 时 ， 对 他 来 说 为 时 已 晚 ， 以 至 于 来 不 及 对 前 面 伪造 的 消息 进 
行 修改 。Alice 和 Bob 会 发 现 这 种 攻击 ， 因 为 他 们 谈话 的 内 容 与 伪造 的 消息 有 可 能 完全 
不 同 。 

Mallory 也 可 以 不 采用 这 种 攻击 方法 。 如 果 他 非常 了 解 Alice 和 Bob， 他 就 可 以 假冒 
其 中 一 人 与 另 一 人 通话 ， 而 他 们 绝 不 会 想到 正在 受骗 。 但 这 样 做 肯定 要 比 充 当中 间 人 
更 难 。 


5. 采用 数字 签名 的 密 钥 交换 

在 会 话 密 钥 交换 协议 中 采用 数字 签名 技术 ,可 以 有 效 地 防止 中 间 人 攻击 。Trent 是 一 
个 可 信赖 的 实体 ， 他 对 Alice 和 Bob 的 公 钥 做 数字 签名 。 签 名 的 公 钥 中 包含 一 个 所 有 权 
证 书 。 当 Alice 和 Bob 收 到 此 签名 公 钥 时 , 他 们 每 人 均 可 以 通过 验证 Trent 的 签名 来 确定 
公 钥 的 合法 性 ， 因 为 Mallory 无 法 伪造 Trent 的 签名 。 

这 样 一 来 ，Mallory 的 攻击 就 变 得 十 分 困难 : 他 不 能 实施 假冒 攻击 ， 因 为 他 既 不 知道 
Alice 的 私 铀 ， 也 不 知道 Bob 的 私 钥 ; 他 也 不 能 实施 中 间 人 攻击 ， 因 为 他 不 能 伪造 Trent 
的 签名 。 即 使 他 能 够 从 Trent 那里 获得 一 个 签名 公 钥 ，Alice 和 Bob 也 很 容易 发 现 该 公 钥 
属于 他 。Mallory 能 做 的 只 有 窃听 往来 的 加 密 报 文 , 或 者 干扰 通信 线路 , 阻止 Alice 与 Bob 
会 话 。 

这 一 协议 中 引入 了 Trent 这 个 角色 。 然 而 ， 密 钥 分 配 中 心 (KDC) Wa. HER 
秘密 的 风险 要 比 第 一 个 协议 小 得 多 。 如 果 Mallory 侵 入 了 KDC, 他 能 够 得 到 的 仅仅 是 Trent 
的 私 钥 。Mallory 可 以 利用 这 一 私 钥 给 用 户 签发 新 的 公 钥 , 但 不 能 用 其 解密 任何 会 话 密 钥 
或 阅读 任何 报 文 。 要 想 阅 读 报 文 ，Mallory 必须 假冒 某 个 合法 网 络 用 户 ， 并 欺骗 其 他 合法 
用 户 采 用 Mallory 的 公 钥 对 报 文 加 密 。 

一 旦 Mallory 获得 了 Trent 的 私 铀 ， 他 就 能 够 对 协议 发 起 中 间 人 攻击 。 他 采用 Trent 
的 私 钥 对 一 些 伪 造 的 公 钥 签名 。 此 后 ， 他 或 者 将 数据 库 中 Alice 和 Bob 的 真正 公 钥 换 掉 ， 
或 者 截获 用 户 的 数据 库 访 问 请 求 ， 并 用 伪造 的 公 钥 响 应 该 请 求 。 这 样 ， 他 就 可 以 成 功 地 
发 起 中 间 人 攻击 ， 并 阅读 他 人 的 通信 。 

这 一 攻击 是 奏效 的 , 但 是 前 提 条 件 是 Mallory 必须 获得 Trent 的 私 钥 ， 并 对 加 密 消 息 
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进行 截获 或 算 改 。 在 某 些 网 络 环境 下 ， 这 样 做 显然 要 比 在 两 个 用 户 之 间 实 施 被 动 的 窃听 
攻击 难得 多 。 对 于 像 无 线 网 络 这 样 的 广播 信道 来 说 , 尽管 可 以 对 整个 网 络 实施 干扰 破坏 ， 
但 是 要 想 用 一 个 消息 取代 另 一 个 消息 几乎 是 不 可 能 的 。 对 于 计算 机 网 络 来 说 ， 这 种 攻击 
要 容易 得 多 ， 而 且 随 着 技术 的 发 展 ， 这 种 攻击 变 得 越 来 越 容易 。 考 虑 到 现存 的 卫 欺骗 、 
路 由 器 攻击 等 ， 主 动 攻击 并 不 意味 着 非 要 对 加 密 的 报 文 解密 ， 也 不 只 限于 充当 中 间 人 。 
此 外 ， 还 有 许多 更 加 复杂 的 攻击 需要 研究 。 


6. 密 钥 和 消息 传输 
Alice 和 Bob 不 必 先 完成 密 钥 交换 协议 ， 再 进行 信息 交换 。 在 下 面 的 协议 中 ，Alice 
在 事先 没有 执行 密 钥 交换 协议 的 情况 下 ， 将 消息 M 发 送 给 Bob， 协 议 描述 如 表 8-5 
所 示 。 
表 8-5 采用 单 钥 与 双 钥 混合 体制 的 密 钥 建立 协议 
密 钥 建立 协议 一 一 单 钥 与 双 钥 体制 混合 协议 
(1) Alice 生成 一 随机 数 作为 会 话 密 钥 ， 并 用 其 对 消息 M 加 密 : Ex(M)。 
(2) Alice 从 数据 库 中 得 到 Bob 的 公 钥 。 
(G) Alice 用 Bob 的 公 钥 对 会 话 密 钥 加 密 : Es(K)。 
(4) Alice 将 加 密 的 消息 和 会 话 密 钥 发 送 给 Bob: Ex(M)，Es(K)。 
* 为 了 提高 协议 的 安全 性 以 对 付 中 间 人 攻击 ，Alice 可 以 对 这 条 消息 签名 。 
(5) Bob 采用 其 私 钥 对 Alice 的 会 话 密 钥 解 密 。 
(6) Bob 采用 这 一 会 话 密 钥 对 Alice 的 消息 解密 。 


这 一 协议 中 既 采 用 了 双 钥 体制 ， 也 采用 了 单 钥 体 制 。 这 种 混合 协议 在 通信 系统 中 经 
常用 到 。 一 些 协议 还 常常 将 数字 签名 、 时 惟 和 其 他 密码 技术 结合 在 一 起 。 


7. 密 钥 和 消息 广播 

在 实际 应 用 中 ，Alice 也 可 能 将 消息 同时 发 送 给 几 个 人 。 在 下 面 的 例子 中 ，Alice 将 
加 密 的 消息 同时 发 送 给 Bob, Carol 和 Dave: 

(1) Alice 生成 一 随机 数 作为 会 话 密 钥 玉 ， 并 用 其 对 消息 M 加 密 : E(M)。 

(2) Alice 从 数据 库 中 得 到 Bob, Carol 和 Dave 的 公 和 钥 。 

(3) Alice 分 别 采 用 Bob, Carol 和 Dave 的 公 钥 对 天 加 密 : E,(K)、EC(K)、Eb(K)。 

(4) Alice 广播 加 密 的 消息 和 所 有 加 密 的 密 钥 ， 将 它们 传送 给 要 接收 的 人 。 

(5) 仅 有 Bob, Carol 和 Dave 能 采用 各 自 的 私 钥 解密 求 出 会 话 密 钥 Ko 

(6) 仅 有 Bob, Carol 和 Dave 能 采用 此 会 话 密 钥 天 对 消息 解密 求 出 M。 

这 一 协议 可 以 在 存储 转发 网 络 上 实现 。 中 央 服 务 器 可 以 将 Alice 的 消息 和 各 自 的 
加 密 密 钥 一 起 转发 给 他 们 。 服 务 器 不 必 是 安全 的 和 可 信赖 的 ， 因 为 它 不 能 解密 任何 
消息 。 


8. Diffie-Hellman 密 钥 交换 协议 
Diffie-Hellman 算法 是 在 1976 年 提出 的 [Diffie 等 1976a]。 它 是 第 一 个 双 钥 算法 ， 其 
安全 性 基于 在 有 限 域 上 计算 离散 对 数 的 难度 。Diffie-Hellman 协议 可 以 用 做 密 钥 交换 ， 
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Alice 和 Bob 可 以 采用 这 个 算法 共享 一 个 秘密 的 会 话 密 钥 ， 但 不 能 采用 它 来 对 消息 进行 
加 密 或 解密 。 
该 协议 的 原理 十 分 简单 。 首 先 ，Alice 和 Bob 约定 两 个 大 的 素数 ，n 和 g， 使 得 g 是 
FE (0，…，n-1) 上 的 本 原 元 。 这 两 个 整数 不 必 保密 ，Alice 和 Bob 可 以 通过 不 安全 的 
信道 传递 它们 。 即 使 许多 用 户 知道 这 两 个 数 ， 也 没有 关系 。 协 议 描述 如 表 8-6 所 示 。 
表 8-6 Diffie-Hellman 密 钥 交换 协议 

Diffie-Hellman 密 钥 交换 协议 

(1) Alice 选择 一 个 随机 的 大 整数 x， 并 向 Bob 发 送 以 下 消息 : X=e*mod no 

(2) Bob 选择 一 个 随机 的 大 整数 y， 并 向 Alice 发 送 以 下 消息 : Y=g” mod ne 

(3) Alice 计算 : K=Y* mod n. 

(4) Bob 计算 : KY? mod no 


T 


至 此 , KA KHF g” modn. ERRAN AERAN, RIE 
者 能 够 计算 离散 对 数 来 得 到 x 和 y， 否 则 它们 无 法 获得 该 密 钥 。 所 以 ,KK 可 以 被 Alice 和 
Bob 用 做 会 话 密 钥 。 

g 和 n 的 选择 对 于 系统 的 安全 性 有 着 根本 的 影响 。 (nm 一])/2 应 该 是 素数 [Pohlig 等 
1978]， 最 重要 的 是 n 应 该 足够 大 。 这 样 ， 系 统 的 安全 性 就 基于 分 解 与 n 具有 同样 长 度 的 
数 的 难度 。 可 以 选择 g 使 得 g 是 群 (0,…，,n-1) 上 的 本 原 元 ， 也 可 以 选择 最 小 的 g( 通 
常 只 有 1 位 数 )。 KRE, g 不 一 定 必须 是 本 原 元 ， 只 要 用 它 能 够 生成 乘 群 (0，…，n-1) 
的 一 个 大 子 群 即 可 。 

Diffie-Hellman 的 密 钥 交 换 协 议 可 以 很 容易 地 扩展 到 多 个 用 户 的 情况 , 该 算法 也 可 以 
从 乘 群 上 扩展 到 交换 环 上 [Pohlig 等 1978]。Z. Shmuley 和 K. McCurley 提出 了 该 算法 的 
另外 一 种 形式 ， 其 中 模 是 一 个 大 合 数 [Shmuley 1985; McCurley 1988]. V. S. Miller 和 
N. Koblitz 将 这 一 算法 扩展 到 椭圆 曲线 上 [Miller 1985; Koblitz 1987]。T ElGamal 利用 
这 一 算法 的 思想 设计 了 一 种 加 密 和 数字 签名 算法 〈 见 7.4 节 )。 

这 一 算法 也 可 以 在 伽 罗 华 域 GF(2*) 上 实现 [Shmuley 1985; McCurley 1988]。 由 于 
在 伽 罗 华 域 上 进行 指数 运算 很 快 ， 所 以 现实 中 的 许多 设计 均 采 用 这 一 方法 。 同 样 ， 在 对 
算法 进行 密码 分 析 时 运算 速度 也 会 很 快 ， 因 此 对 我 们 来 说 ， 重 要 的 是 应 该 细心 选择 一 个 
足够 大 的 域 ， 以 保证 系统 的 安全 性 。 

8.2.2 ”认证 建立 协议 

如 第 6 章 所 述 ， 认 证 包含 消息 认证 、 数 据 源 认 证 和 实体 认证 〈 身 份 识别 )， 用 以 防止 
欺骗 、 伪 装 等 攻击 。 有 关 技 术 算 法 前 面 已 经 介绍 ， 这 里 讨论 实现 认证 的 各 种 协议 。 

当 Alice 登录 到 某 个 主机 (或 者 某 个 自动 取款 机 、 电 话 银行 系统 或 其 他 任何 类 型 
的 终端 ) 时 ， 主 机 如 何 知 道 她 是 谁 呢 ? 主机 怎么 才能 知道 她 不 是 Eve 假冒 Alice 的 身 
份 ? 传统 的 方法 是 采用 口令 来 解决 这 个 问题 。Alice 输入 她 的 口令 ， 主 机 确认 口令 是 
正确 的 。 Alice 和 主机 都 知道 这 一 秘密 。 每 次 登录 时 , 主机 都 要 求 Alice 输入 她 的 口令 。 
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1. 采用 单 向 函数 的 认证 协议 
R. Needham 和 M. Guy 等 指出 : 在 对 Alice 进行 认证 时 ， 主 机 无 须知 道 其 口令 。 
它 只 需 能 够 辨别 Alice 提交 的 口令 是 否 有 效 。 这 很 容易 通过 采用 单 向 函数 来 实现 。 
主机 不 必 存 储 Alice 的 口令 ， 它 只 需 存 储 该 口令 的 单 向 函数 值 。 协 议 描述 如 表 8-7 
所 示 。 
表 8-7 采用 单 向 函数 的 认证 协议 
采用 单 向 函数 的 认证 协议 
(1) Alice 向 主机 发 送 她 的 口令 。 
(2) 主机 计算 该 口令 的 单 向 函数 值 。 
(3) 主机 将 计算 得 到 的 单 向 函数 值 与 预先 存储 的 值 进行 比较 。 


由 于 主机 不 需要 再 存储 各 用 户 的 有 效 口令 表 ， 减 轻 了 攻击 者 侵入 主机 和 窃取 口令 清 
单 的 威胁 。 攻 击 者 窃取 口令 的 单 向 函数 值 将 毫 无 用 处 ， 因 为 他 不 可 能 从 单 向 函数 值 中 反 
向 推出 用 户 的 口令 。 


2. 字典 攻击 和 搭 杂 

一 个 采用 单 向 函数 加 密 的 口令 文件 仍然 易 遭 受 攻击 。Mallory 可 以 编制 100 万 个 最 常 
用 的 口令 ， 然 后 用 单 向 函数 对 所 有 这 些 口 令 加 密 并 存储 密 文 。 若 每 个 口令 为 8 字 节 ， 那 
么 密 文 不 会 超过 8MB。 此 后 ，Mallory 可 以 窃取 某 个 加 密 的 口令 文件 ， 并 与 他 存储 的 密 
文 相 比较 ， 看 有 哪些 密 文 重合 。 这 种 方法 被 称 为 字典 攻击 。 事 实证 明 ， 这 种 攻击 方法 十 
分 有 效 。 

掺 杂 是 一 种 使 字典 攻击 变 得 更 加 困难 的 方法 。 掺 杂 是 一 个 伪 随 机 序列 ， 常 常 将 其 与 
口令 级 联 后 再 采用 单 向 函数 加 密 。 此 后 ， 将 掺 杂 值 和 密 文 一 起 存储 于 主机 的 数据 库 中 。 
如 果 返 杂 值 的 空间 足够 大 ， 就 会 大 大 削弱 字典 攻击 的 成 功 概率 ， 因 为 Mallory 必须 对 每 
个 可 能 的 掺 杂 值 加 密 ， 生 成 一 个 单 向 杂 闫 值 。 

这 里 需要 和 弄 清 的 一 点 是 ， 当 Mallory 试图 攻破 某 个 人 的 口令 时 ， 他 必须 试 着 对 字典 
中 的 每 个 口令 进行 加 密 ， 而 不 是 针对 所 有 的 口令 进行 大 量 的 预计 算 。 

许多 UNIX 系统 仅 采 用 12b WBA. Bue, Daniel Klein 通过 一 个 口令 揣测 程 
序 , 在 一 周 之 内 便 可 以 破译 任何 一 台 主 机 上 40% 的 口令 [Klein 1990]。David Feldmeier 
和 Phlip Karn 收集 了 大 约 73.2 万 个 常用 的 口令 ， 每 个 口令 均 与 4096 个 可 能 的 Salt 值 
相 级 联 。 他 们 估计 采用 这 一 口令 表 ， 对 任意 一 台 给 定 的 主机 ， 有 30% 的 口令 可 以 被 
攻破 。 

然而 ， 掺 杂 并 不 是 万 灵 药 ， 仅 靠 增 加 掺 杂 比 特 的 数目 并 不 会 解决 所 有 的 问题 。 挫 杂 
仅 能 抗击 对 口令 文件 的 一 般 字 典 攻 击 ， 而 不 能 抗击 对 单一 口令 的 预定 攻击 。 它 可 以 保护 
人 们 在 多 台 计 算 机 上 使 用 同一 口令 ， 却 不 能 使 选择 的 坏 口令 变 得 更 安全 。 

3. SKEY 认证 程序 

SKEY 是 一 个 认证 程序 , 它 的 安全 性 取决 于 所 采用 的 单 向 函数 。 它 的 工作 原理 如 下 : 

开始 时 ，Alice 输入 一 个 随机 数 R。 计算 机 计算 f(R), SRY. f(f(f(R)) 等 100 次， 


215 


Be 网络 安全 一 一 技术 与 实践 (第 2 版 ) ms 


将 其 记 为 ,x%, 叉 ,…, Xioo。 之 后 ， 计 算 机 打印 出 这 些 数 的 清单 ， 并 安全 保存 。 同 时 计算 
机 也 将 xo 和 Alice 的 姓名 一 起 存放 在 某 个 登录 数据 库 中 。 

在 Alice 首次 登录 时 ， 输 入 其 姓名 和 mo 。 计 算 机 计算 了 (xo。)， 并 将 其 与 存储 在 数据 
库 中 的 值 x 加 以 比较 ;如 果 它 们 相等 ，Alice 就 通过 认证 。 然 后 ， 计 算 机 用 mo 将 数据 
库 中 的 ao 取代 ;Alice 也 将 ao 从 她 的 清单 中 去 掉 。 

每 次 登录 时 ，Alice 输入 清单 中 最 后 一 个 未 被 去 掉 的 数 x; 。 计 算 机 计算 f(x) ， 并 将 
其 与 存储 在 数据 库 中 的 x,, 进行 比较 。 由 于 每 个 数 仅 用 一 次 ， 而 且 函 数 是 单 向 的 ，Eve 
不 能 得 到 任何 有 用 的 信息 。 同 样 ， 数 据 库 对 于 攻击 者 来 说 仍然 有 用 。 当 然 ， 当 Alice 用 
完了 清单 中 的 数 时 ， 她 必须 重新 对 该 系统 进行 初始 化 。 


4. 采用 双 钥 体制 的 认证 

ERA TÉR, K 8-7 描述 的 协议 仍然 存在 严重 的 安全 问题 。 当 Alice 向 主机 发 送 
口令 时 ， 接 入 其 数据 通道 的 任何 人 均 可 以 阅读 到 此 口令 。 她 也 许 通 过 某 个 复杂 的 传输 通 
道 访问 她 的 主机 ， 而 这 个 通道 可 能 要 经 过 4 个 工业 集团 、3 个 国家 和 两 所 大 学 。Eve 可 能 
就 正在 其 中 的 任何 一 个 节点 上 来 窃听 Alice 的 登录 序列 。 如 果 Eve 能 够 接 入 到 主机 的 处 
理 器 内 存 ， 他 就 会 抢 在 主机 对 口令 做 杂凑 运算 之 前 看 到 该 口令 。 

采用 双 钥 密码 体制 可 以 解决 这 个 问题 。 主 机 保留 每 个 用 户 的 公 钥 文件 ， 所 有 的 用 户 
保留 他 们 各 自 的 私 钥 。 协 议 描述 如 表 8-8 所 示 。 


表 8-8 采用 双 钥 体制 的 认证 协议 


认证 协议 一 一 采用 双 钥 体制 

(1) 主机 向 Alice 发 送 一 随机 数 。 

(2) Alice 用 其 私 钥 对 此 随机 数 加 密 ， 并 将 密 文 连同 其 姓名 一 起 发 送 给 主机 。 

G) 主机 在 它 的 数据 库 中 搜索 Alice 的 公 钥 ， 并 采用 此 公 钥 对 收 到 的 密 文 解密 。 

(4) 如 果 解 密 得 到 的 消息 与 主机 首次 发 给 Alice 的 数值 相等 ， 主 机 就 允许 Alice 对 系统 进行 访问 。 


由 于 无 人 能 够 访问 Alice 的 私 钥 ， 所 以 也 就 无 人 能 够 假冒 Alice。 最 重要 的 是 ，Alice 
永远 不 会 将 其 私 钥 发 给 主机 。 即 使 Eve 可 以 窃听 到 Alice 与 主机 之 间 的 会 话 ， 他 也 不 能 
获得 可 以 用 来 推出 私 钥 并 冒充 Alice 的 任何 信息 。 

Alice 的 私 钥 不 但 很 长 ， 而 且 难 以 记忆 。 它 可 能 由 用 户 的 硬件 产生 ， 也 可 能 由 用 户 的 
软件 产生 ， 只 要 求 Alice 拥有 一 个 可 信赖 的 智能 终端 ， 并 不 要 求 主机 必须 是 安全 的 ， 也 
不 要 求 通信 通道 必须 是 安全 的 。 

实际 中 ， 对 数据 串 的 选择 必须 十 分 谨慎 。 不 仅 是 因为 存在 不 可 信赖 的 第 三 方 问题 ， 
而 且 还 存在 其 他 类 型 的 有 效 攻 击 。 因 此 ， 安 全 的 身份 证 明 协议 常 采用 以 下 更 加 复杂 的 
形式 : 

(1) Alice 基于 某 些 随机 数 和 其 私 钥 进行 加 密 运算 ， 并 将 结果 送 给 主机 。 

(2) 主机 向 Alice 发 送 另外 一 个 随机 数 。 

(3) Alice 基于 随机 数 (她 自己 生成 的 一 些 随机 数 和 收 到 来 自主 机 的 某 个 随机 数 ) 以 
及 她 的 私 钥 进 行 计 算 ， 并 将 结果 发 给 主机 。 
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(4) 主机 采用 Alice 的 公 钥 对 收 到 的 数值 进行 解密 ， 看 Alice 是 否 知道 她 的 私 钥 。 

(5) Alice 确实 知道 她 的 私 钥 ， 那 么 她 的 身份 就 得 以 确认 。 

如 果 Alice 并 不 信赖 主机 ， 那 么 她 就 要 求 主机 以 同样 的 方式 来 证 明 其 身份 。 

协议 的 第 (1) 步 看 起 来 似乎 没有 必要 或 者 令 人 费解 ， 然 而 却 是 抵抗 攻击 者 对 协议 攻 
击 所 必需 的 步骤 [Lamport 1981]. 


5. 采用 联 锁 协 议 的 双向 认证 
Alice 和 Bob 是 两 个 想 要 进行 相互 认证 的 用 户 。 每 个 人 都 有 一 个 对 方 已 知 的 口令 : 
Alice RA P,, Bob 具有 PP。 下 面 是 一 个 不 安全 的 协议 : 
(1) Alice 和 Bob 相互 交换 公 钥 。 
(2) Alice 用 Bob 的 公 钥 对 P, 加 密 ， 并 将 结果 送 给 Bob. 
(3) Bob 用 Alice 的 公 钥 对 PB 加密 ， 并 将 结果 送 给 Alice。 
(4) Alice 对 在 (3) 中 收 到 的 消息 解密 ， 并 验证 其 是 否 正确 。 
(5) Bob 对 在 〈2) 中 收 到 的 消息 解密 ， 并 验证 其 是 否 正确 。 
Mallory 可 以 对 上 面 的 协议 成 功 地 实施 中 间 人 攻击 。 攻 击 方法 如 表 8-9 所 示 。 
表 8-9 中 间 人 攻击 
中 间 人 攻击 
(1) Alice 和 Bob 相互 交换 公 钥 。Mallory 可 以 截获 通信 双方 的 公 钥 Py 和 Ps， 他 用 自己 的 公 钥 葵 
换 掉 Bob 的 公 钥 ， 并 将 其 发 送 给 Alice。 然 后 ， 他 用 自己 的 公 钥 替换 掉 Alice 的 公 钥 ， 并 将 其 
发 送 给 Bob。 
(2) Alice 用 “Bob” 的 公 钥 对 Py 加密 ， 并 将 其 发 送 给 Bob。Mallory 可 以 截获 这 一 消息 ， 并 用 其 
私 钥 解密 求 出 Po HH Bob 的 公 钥 重新 对 Py 加密 ， 并 将 结果 发 送 发 给 Bob. 
(3) Bob 用 “Alice” 的 公 钥 对 Ps 加密 ， 并 将 其 发 送 给 Alice. Mallory 可 以 截获 这 一 消息 ， 并 用 其 
私 钥 解密 求 出 Po H Alice 的 公 钥 重新 对 Ps 加密 ， 并 将 结果 发 送 发 给 Alice。 
(4) Alice 解密 求 出 Ps， 并 验证 其 是 否 正确 。 
(5) Bob 解密 求 出 Ps， 并 验证 其 是 否 正 确 。 


在 Alice 和 Bob 看 来 ， 此 认证 过 程 并 没有 什么 不 妥 。 然而 ,对 于 Mallory 来 说 ， 他 可 
以 获得 通信 双方 的 口令 P, 和 PP。 

D. Davies 和 W. Price 描述 了 如 何 利用 联 锁 协议 挫败 这 一 攻击 [Davies 等 1989]。 
S. Bellovin 和 M. Merritt 讨论 了 攻击 这 一 协议 的 方法 [Bellovin 等 1994]。 如 果 Alice 是 一 
个 用 户 ， 而 Bob 是 一 个 主机 ，Mallory 可 以 假装 成 Bob， 与 Alice 一 起 完成 协议 的 开头 几 
步 ， 然 后 断 掉 与 Alice 的 连接 。Mallory 通过 模拟 线路 噪声 或 网 络 故障 来 欺骗 对 方 ， 结 果 
是 Mallory 获得 了 Alice 的 口令 。 此 后 ， 他 与 Bob 建立 连接 并 完成 协议 ， 最 终 获得 Bob 
的 口令 。 

协议 可 以 做 进一步 的 修改 : 假设 用 户 的 口令 比 主机 的 口令 更 加 敏感 ， 此 时 Bob 先 于 
Alice 给 出 他 的 口令 。 修 改 后 的 协议 可 能 遭受 更 加 复杂 的 攻击 [Bellovin 1994]. 
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6. SKID 身份 识别 协议 

SKID2 和 SKID3 是 采用 单 钥 体制 构造 的 身份 识别 协议 , 它们 是 为 RACE 的 RIPE if 
划 而 开发 的 [RACE 1992]。 它 们 采用 了 消息 认证 码 MAC 来 提供 安全 性 ， 并 且 假设 Alice 
和 Bob 共享 一 个 密 钥 Ke 

SKID2 允许 Bob 向 Alice 提供 其 身份 。SKID3 提供 了 Alice 和 Bob 之 间 的 双向 认证 。 
协议 如 表 8-10 所 示 。 


表 8-10 SKID2, SKID3 身份 识别 协议 


SKID2 身份 识别 协议 
A) Alice 选择 随机 数 R, CE RIPE 文件 中 规定 其 为 64bit) ， 并 将 其 发 送 给 Bob。 
(2) Bob 选择 随机 数 Rs 在 RIPE 文件 中 规定 其 为 64bit) ， 并 发 送 给 Alice WE: Rs，Hx(R4， 
Rs，B)。 其 中 ，Hx 是 消息 认证 码 (MAC)， 在 RIPE 文件 中 建议 MAC 采用 RIPE-MAC 函数 ， 
B 是 Bob 的 姓名 识别 符 。 
G) Alice 计算 Hx (Rs，Rs，B)， 并 将 其 与 收 到 的 来 自 Bob 的 值 进行 比较 。 如 果 两 值 相等 ， 那 么 
Alice 知道 她 正在 与 Bob 通信 。 
SKID3 身份 识别 协议 
步骤 (D) 一 (3) 等 同 于 SKID2， 附 加 了 以 下 两 步 : 
(1) Alice 向 Bob 发 送 消息 ，Hx(Rs，4)。 其 中 ，4 是 Alice 的 姓名 识别 符 。 
(2) Bob 计算 Hx(Rs，4)， 并 与 收 到 的 来 自 Alice 的 值 进 行 比较 。 如 果 相 等 ， 那 么 他 知道 他 正在 与 
Alice 进行 通信 。 
对 于 中 间 人 攻击 来 说 ， 这 一 协议 并 不 安全 。 一 般 来 说 ， 中 间 人 攻击 能 够 攻破 不 涉及 
某 种 秘密 的 任何 协议 。 
7. 消息 认证 
当 Bob 收 到 来 自 Alice 的 消息 时 , 他 如 何 来 判断 这 条 消息 是 真 的 ? 如果 Alice 对 这 条 
消息 进行 数字 签名 ， 那么 事情 就 变 得 十 分 容易 了 。Alice 的 数字 签名 足以 提示 任何 人 她 签 
发 的 这 条 消息 是 真 的 。 
单 钥 密码 体制 也 可 以 提供 某 种 认证 。 当 Bob 收 到 某 条 采用 共享 密 钥 加 密 的 消息 时 ， 
他 便 知 道 此 条 消息 来 自 Alice。 然 而 ，Bob 却 不 能 向 Trent 证 明 这 条 消息 来 自 Alice。Trent 
只 能 知道 这 条 消息 来 自 Bob 或 者 来 自 Alice( 因为 没有 其 他 任何 人 知道 他 们 的 共享 密 钥 )， 
但 分 不 清 这 条 消息 究竟 是 谁 发 出 的 。 
如 果 不 采 用 加 密 ，Alice 也 可 以 采用 消息 认证 码 MAC 的 方法 。 采 用 这 种 方法 也 可 以 
提示 Bob 有 关 消 息 的 真 伪 ， 但 它 存在 着 与 采用 单 钥 加 密 体制 相同 的 问题 。 


8.2.3 ”认证 的 密 钥 建立 协议 


这 类 协议 将 认证 与 密 钥 建 立 结合 在 一 起 ， 用 于 解决 计算 机 网 络 中 普遍 存在 的 这 样 一 
个 问题 ，Alice 和 Bob 是 网 络 的 两 个 用 户 ， 他 们 想 通 过 网 络 进行 安全 通信 。 那 么 Alice 和 
Bob 如 何 才 能 做 到 在 进行 密 钥 交换 的 同时 ， 确 信 她 或 他 正在 与 另 一 方 而 不 是 Mallory 通 
信 呢 ?单纯 的 密 钥 建立 协议 有 时 还 不 足以 保证 在 通信 双方 之 间 安 全 地 建立 密 钥 ， 与 认证 
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相 结合 能 可 靠 地 确认 双方 的 身份 ， 实 现 安全 密 钥 建立 ， 使 参与 双方 RED) 确信 没有 
其 他 人 可 以 共享 该 秘密 。 密 钥 认 证 分 为 3 种 : 

(1) 隐 式 〈Implicit) 密 钥 认 证 : 若 参与 者 确信 可 能 与 他 共享 一 个 密 钥 的 参与 者 的 身 
份 时 ， 第 二 个 参与 者 无 须 采 取 任 何 行动 。 

(2) 密 钥 确证 (Key Confirmation): 一 个 参与 者 确信 第 二 个 可 能 未 经 识别 参与 者 ， 
确实 具有 某 个 特定 密 钥 。 

(3) 显 式 (Explicit) 密 钥 认证 : 已 经 识别 的 参与 者 具有 给 定 密 钥 。 它 具有 隐 式 和 密 
钥 确 证 双重 特征 。 

密 钥 认证 的 中 心 问题 是 识别 第 二 参与 者 ， 而 不 是 识别 密 钥 值 ， 而 密 钥 确证 则 恰好 相 
反 ， 是 对 密 钥 值 的 认证 。 密 钥 确 证 通常 包含 了 从 第 二 参与 者 送 来 的 消息 ， 其 中 含有 证 据 
稍 后 可 证 明 密 钥 的 主权 人 。 事 实 上 密 钥 的 主权 人 可 以 通过 多 种 方式 来 证 明 ， 如 生成 密 钥 
本 身 的 一 个 单 向 杂凑 值 、 采 用 密 钥 控制 的 杂凑 函数 以 及 采用 密 钥 加 密 一 个 已 知 量 等 。 这 
些 技 术 可 能 会 泄漏 一 些 有 关 密 钥 本 身 的 信息 ， 而 用 零 知 识 证 明 技 术 可 以 证 明 密 钥 的 主权 
人 但 不 会 泄漏 有 关 密 钥 的 任何 信息 。 

并 非 所 有 协议 都 要 求实 体 认证 ， 有 些 密 钥 建立 协议 〈 如 非 认 证 的 Diffie-Hellman 密 
钥 协 商 协 议 ) 就 不 含 实体 的 认证 、 密 钥 认 证 和 密 钥 确 证 。 单 边 〈unilatoral) 密 钥 确 证 可 
能 经 常 附 有 用 最 后 消息 推导 密 钥 的 单 向 函数 。 

在 认证 的 密 钥 建立 中 ， 有 基于 身份 的 密 钥 建立 协议 ， 参 与 者 的 公 钥 中 包含 了 身份 
信息 〈 如 名 字 、 地 址 、 身 份 号 等 )， 用 来 作为 确定 建立 密 钥 的 函数 的 输入 变量 。 目 前 ， 
许多 协议 都 假设 Trent 与 协议 的 参与 者 之 间 共 享 一 密 钥 ， 并 且 所 有 这 些 密 钥 在 协议 开 
始 执行 前 就 已 经 分 发 到 位 。 下 面 就 来 讨论 这 些 协 议 ， 协 议 中 采用 的 符号 如 表 8-11 
所 示 。 

表 8-11 认证 和 密 钥 交换 协议 中 采用 的 符号 
rrr 


Es | 采用 Trent 与 Bob 共享 的 密 钥 加 密 Ra» Rs | 由 Alice 和 Bob 选 择 的 一 次 随机 数 (Nonce) 
I 索引 号 码 Sr Trent 的 签名 


1. 大 嘴 青 蛙 协议 

大 嘴 青 蛙 协 议 [Burrows 等 1989] 可 能 是 采用 可 信赖 服务 器 的 最 简单 的 对 称 密 钥 管 理 
协议 。Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 此 密 钥 只 用 做 密 钥 分 配 ， 而 不 用 来 对 用 户 
之 间 传 递 的 消息 进行 加 密 。 只 传送 两 条 消息 ，Alice 就 可 将 一 个 会 话 密 钥 发 送 给 Bob。 协 
议 描述 如 表 8-12 所 示 。 
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表 8-12 ABSA 


大 嘴 青 蛙 协 议 

大 前 提 : 

Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 此 密 钥 只 用 做 密 钥 分 配 , 而 不 用 来 对 用 户 之 间 传递 的 消息 

进行 加 密 。 

大 描述 : 

(1) Alice ATR. Bob 的 姓名 以 及 随机 会 话 密 钥 连接 ， 并 采用 与 Trent 共享 的 密 钥 对 整 条 消息 加 
密 。 此 后 ， 将 加 密 的 消息 和 她 的 姓名 一 起 发 送 给 Trent: 4，Es(T4,B, K)o 

(2) Trent 对 Alice 发 来 的 消息 解密 。 之 后 ， 他 将 一 个 新 的 时 戳 、Alice 的 姓名 及 随机 会 话 密 钥 连接 ， 
并 采用 与 Bob 共享 的 密 钥 对 整 条 消息 加 密 。 此 后 ， 将 加 密 的 消息 发 送 给 Bob: Ells A K) 


这 个 协议 所 做 的 一 个 最 重要 的 假设 是 : Alice 完全 有 能 力 产 生 好 的 会 话 密 钥 。 在 实际 
中 ， 真 正 随机 数 的 生成 是 十 分 困难 的 。 这 个 假设 对 Alice 提出 了 很 高 的 要 求 。 


2. Yahalom 协议 
在 这 一 协议 中 ，Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 [Burrows 等 1989]。 协 议 如 
表 8-13 所 示 。 


表 8-13 Yahalom 协议 


Yahalom 协议 

类 前 提 : Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 

大 目标 : Alice 和 Bob 均 确 信 各 自 都 在 与 对 方 进行 对 话 ， 而 不 是 与 另外 的 第 三 方 通话 。 

类 描述 : 

A) Alice 将 其 姓名 和 一 个 随机 数 链接 在 一 起 ， 发 送 给 Bob: A, Ryo 

(2) Bob 将 Alice 的 姓名 、Alice 的 随机 数 和 他 自己 的 随机 数 连接 起 来 。 并 采用 与 Trent 共享 的 密 
钥 加 密 。 此 后 将 加 密 的 消息 和 他 的 姓名 一 起 发 送 给 Trent: B，Es(4，R4，Rs)。 

(3) Trent 生成 两 条 消息 。 他 先 将 Bob 的 姓名 、 某 个 随机 的 会 话 密 钥 、Alice 的 随机 数 和 Bob 的 随 
机 数组 合 在 一 起 , 并 采用 与 Alice 共享 的 密 钥 对 整 条 消息 加 密 ; 其 次 将 Alice 的 姓名 和 随机 的 
会 话 密 钥 组 合 起 来 ,并 采用 与 Bob 共享 的 密 钥 加 密 。 最 后 将 两 条 消息 发 送 给 Alice: E(B, K, 
Ry Rs), Es(A, K)o 

(4) Alice 对 第 一 条 消息 解密 ， 提 取出 K, AER RSE C1) 中 值 相等 。 之 后 ，Alice 向 Bob 发 
送 两 条 消息 。 第 一 条 消息 来 自 Trent, KA Bob 的 密 钥 加 密 ; 第 二 条 是 Re， 采用 会 话 密 钥 K 
加 密 : Es(4，K)，Ex (Rs)。 

(5) Bob 用 他 的 共享 密 钥 对 第 一 条 消息 解密 ， 提 取出 K: 再 用 该 会 话 密 钥 对 第 二 条 消息 解密 求 出 
Rs， 并 验证 Rg 是否 与 (2) 中 的 值 相同 。 


这 个 协议 的 新 思路 是 : Bob 首先 与 Trent 接触 ， 而 Trent 仅 向 Alice 发 送 一 条 消息 。 


3. Needham-Schroeder 协议 
这 个 协议 是 由 R. Needham 和 M. Schroeder 设计 的 [Needham 等 1978]， 协 议 采 用 了 
单 钥 体制 和 Trent, EER, WX 8-14 所 示 。 
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表 8-14 Needham-Schroeder 协议 

Needham-Schroeder 协议 

(1) Alice 向 Trent 发 送 一 条 消息 : 4，B，R4。 其 中 包括 她 的 姓名 A Bob 的 姓名 B 和 某 个 随机 
Ryo 

(2) Trent 生成 一 个 随机 会 话 密 钥 玉 。 他 将 会 话 密 钥 和 Alice 的 姓名 连接 在 一 起 ， 并 采用 与 Bob 共 
享 的 密 钥 对 其 加 密 得 到 EK, A); 此 后 ， 他 将 Alice 的 随机 数 Ra Bob 的 姓名 B、 会 话 密 钥 
玉 ， 以 及 上 述 加 密 的 消息 连接 ， 并 采用 与 Alice 共享 的 密 钥 加 密 。 最 后 将 加 密 的 消息 发 送 给 
Alice: E,(R4, B, K, Es(K, A)). 

G) Alice 对 消息 解密 求 出 天 ， 并 验证 R 就 是 她 在 (1) 中 发 送 给 Trent 的 值 。 之 后 ， 她 向 Bob 发 送 
WE: Ez(K A)o 

(4) Bob 对 收 到 的 消息 解密 求 出 玉 。 之 后 , 他 生成 另 一 随机 数 Rs, 采用 天 加 密 后 发 送 给 Alice: Ex(Rs)。 

(5) Alice 用 天 对 收 到 的 消息 解密 得 到 Reo WER Rl, HRA KWE. 最后, 将 消息 发 送 给 Bob: 
Ex(Rs—1)。 

(6) Bob 采用 天 对 消息 解密 ， 并 验证 得 到 的 明文 就 是 Rs 一 1。 


ERR R, FR, -1 的 目的 是 为 了 抗击 重 放 攻 击 (Replay Attack)。 在 实施 攻 
TERM, Mallory 可 以 记录 前 次 执行 协议 时 的 一 些 旧 消 息 ， 然 后 重新 发 送 它 们 ， 试 图 攻破 协 
议 。 在 (2) 中 ，R, 的 出 现 使 Alice 确信 : Trent 的 消息 是 合法 的 ， 并 非 是 重 发 上 次 协议 
执行 中 的 旧 消 息 。 当 Alice RHE, RH R E (5) 中 向 Bob RIŽ R, -1 时 ，Bob 
确信 Alice 的 消息 是 合法 的 ， 而 不 是 重 发 上 次 协议 执行 中 的 旧 消 息 。 

这 一 协议 的 主要 安全 漏洞 是 旧 会 话 密 钥 存在 着 脆弱 性 。 如 果 Mallory 能 够 获得 某 个 
旧 的 会 话 密 钥 , 他 就 可 以 成 功 地 对 协议 发 起 攻击 [Denning 1982]. 他 要 做 的 就 是 记录 Alice 
E G) 中 发 给 Bob 的 消息 。 之 后 ,一旦 得 到 天 ， 他 就 可 以 假装 成 Alice 对 协议 发 起 攻击 : 
(1) ~ (2) 与 Needham-Schroeder 协议 相同 。 

(3) Mallory 假装 成 Alice 向 Bob 发 送 消息 : E,(K, 4A) 。 

(4) Bob FERH K, ÆR R- FRZ Alice HE: E,(R,) 。 

(5) Mallory 截获 这 一 消息 ， 并 用 天 对 其 解密 。 此 后 ， 将 发 给 Bob: E(Rs 一 1)。 
(6) Bob 验证 “Alice” 的 消息 是 Rs -1。 

至 此 ，Mallory 已 使 Bob 相信 他 正在 与 Alice 通话 。 

在 协议 中 采用 时 稚 ， 可 以 提高 协议 的 安全 性 ， 从 而 有 效 地 抗击 这 种 攻击 [Denning 等 
1981, Denning 1982]。 在 (2) F, MERRIA E] Trent 发 送 的 消息 中 ， 即 ECK, 4,7)。 
时 戳 要 求 系统 有 一 个 安全 的 和 精确 的 时 钟 ， 然 而 要 做 到 这 点 并 非 易 事 。 

如 果 Trent 与 Alice 共享 的 密 钥 被 泄漏 ， 那 么 后 果 更 加 严重 。Mallory 可 以 用 它 获 得 


会 话 密 钥 , 然后 与 Bob (或 其 他 任何 想 要 与 之 对 话 的 用 户 ) 进行 通信 。 SEMAN, 在 Alice 


改变 了 她 的 密 钥 后 ，Mallory 还 可 以 继续 进行 这 种 攻击 [Bauer 等 1983]。 
为 了 克服 原 协 议 存 在 的 问题 , Needham 和 Schroeder 对 上 述 协议 做 了 改进 , 提出 了 一 种 
安全 性 更 高 的 协议 [Needham 等 1987]。 此 新 协议 与 将 要 讨论 的 Otway-Rees 协议 基本 相同 。 


4. Otway-Rees 协议 
这 一 协议 也 采用 了 单 钥 密码 体制 。 该 协议 有 Trent S45, AM B[Otway 等 1987]。 


协议 描述 如 表 8-15 所 示 。 
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表 8-15 Otway-Rees 协议 


Otway-Rees 协议 

类 目标 : Alice 和 Bob 相互 确认 对 方 的 身份 ， 并 获得 一 个 通信 用 的 密 钥 。 

大 描述 : 

(1) Alice 生成 一 条 消息 ， 其 中 包括 索引 号 码 、 她 的 姓名 、Bob 的 姓名 和 一 个 随机 数 ， 并 将 这 条 
消息 采用 她 与 Trent 共享 的 密 钥 加 密 。 此 后 ,将 密 文 连同 索引 号 、Alice 和 Bob 的 姓名 一 起 发 
送 给 Bob: I, A, B, E(Ry I, A, B) 

(2) Bob 生成 一 条 消息 ， 其 中 包括 一 个 新 的 随机 数 、 索 引号 、Alice 和 Bob 的 姓名 ， 并 采用 他 与 
Trent 共享 的 密 钥 对 这 条 消息 加 密 。 此 后 ， 将 密 文 连同 Alice 的 密 文 、 索 引号 、Alice 和 Bob 
的 姓名 一 起 发 送 给 Trent: J, A, B, ERa I, A, B), Es(Rs, I, A, B)o 

G) Trent 生成 一 个 随机 的 会 话 密 钥 。 此 后 ， 生 成 两 条 消息 。 第 一 条 消息 采用 他 与 Alice 共享 的 密 钥 
对 Alice 的 随机 数 和 会 话 密 钥 加 密 ; 第 二 条 采用 他 与 Bob 的 共享 密 钥 对 Bob 的 随机 数 和 会 话 密 
钥 加 密 。 最 后 Trent 将 这 两 条 消息 连同 索引 号 一 起 发 送 给 Bob: J，Es(R4，K)，Es(Rs, K)o 

(4) Bob 将 属于 Alice 的 那 条 消息 连同 索引 号 一 起 发 送 给 Alice: I, ERa K)o 

(5) Alice 对 收 到 的 消息 解密 得 到 随机 数 R 和 会 话 密 钥 。 如 果 RR 与 (1) 中 的 值 相 同 ， 那 么 Alice 
确认 随机 数 和 会 话 密 钥 没有 被 改动 过 ， 并 且 不 是 重 发 某 个 旧 会 话 密 钥 。 


5. Kerberos 协议 

Kerberos 协议 是 从 Needham-Schroeder 协议 演变 而 来 的 。 有 关 该 协议 的 详细 介绍 ， 
请 参阅 15.6 节 。 在 基本 的 Kerberos V.5 协议 中 , Alice 和 Bob 各 自 与 Trent 共享 一 个 密 钥 ， 
KRANER, Alice 与 Bob 通信 的 会 话 密 钥 由 Alice 生成 。 

Kerberos 协议 描述 如 表 8-16 所 示 。 


表 8-16 Kerberos 协议 


Kerberos 协议 

类 前 提 : 

每 个 用 户 均 具 有 一 个 与 Trent 同步 的 时 钟 。 

类 描述 : 

(1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : 4，B。 

(2) Trent 生成 一 条 消息 ， 其 中 包含 时 规 、 有 效 期 L、 随 机 会 话 密 钥 和 Alice 的 身份 ， 并 采用 与 Bob 
共享 的 密 钥 加 密 。 此 后 ， 他 将 时 戳 、 有 效 期 、 会 话 密 钥 和 Bob 的 身份 采用 与 Alice 共享 的 密 钥 
加 密 。 最 后 ， 将 这 两 条 加 密 的 消息 发 送 给 Alice: ET, L, K, B), Es(T, L, Ky A)o 

(3) Alice 采用 天 对 其 身份 和 时 戳 加 密 , 并 连同 从 Trent 收 到 的 、 属 于 Bob 的 那 条 消息 发 送 给 Bob: 
EA, T), Es(T, L, Ky A)o 

(4) Bob KERI 1， 并 采用 天 对 其 加 密 后 发 送 给 Alice: Ex(T+1)。 


实际 上 ， 同 步 时 钟 是 由 系统 中 的 安全 时 间 服 务 器 来 保持 的 。 通 过 设立 一 定 的 时 间 间 
隔 ， 系 统 可 以 有 效 地 检测 到 重 放 攻击 。 

6. Neuman-Stubblebine 协议 

无 论 是 系统 故障 还 是 计时 误差 ， 都 有 可 能 使 时 钟 失 步 。 若 发 生 时钟 失 步 ， 所 有 依赖 
于 同步 时 钟 的 协议 都 有 可 能 遭 到 攻击 [Gong 1992]。 如 果 发 送 者 的 时 钟 超前 于 接收 者 的 时 
钟 , Mallory 可 以 截获 发 送 者 的 某 个 消息 , 等 该 消息 中 的 时 戳 接 近 于 接收 者 的 时 钟 时 再 重 
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发 这 条 消息 。 此 攻击 被 称 做 等 待 重 放 攻 击 (Suppress-Replay Attack)， 它 造成 的 后 果 是 十 
分 严重 的 。 
Neuman-Stubblebine 协议 首先 在 文献 [Kehne 等 1992] 中 提出 ， 此 后 又 在 文献 [Neuman 
等 1993] 中 进行 了 改进 。 它 的 特点 是 能 够 抵抗 等 待 重 放 攻 击 。 作 为 Yahalom 协议 的 加 强 版 
本 ，Neuman-Stubblebine 协议 抵抗 是 一 个 很 好 的 协议 。 该 协议 的 描述 如 表 8-17 所 示 。 
表 8-17 Neuman-Stubblebine 协议 
Neuman-Stubblebine 协议 
类 目标 : Alice 和 Bob 相互 确认 对 方 的 身份 ， 并 共享 一 个 会 话 密 钥 。 
* 描述 : 
(1) Alice 将 她 的 姓名 和 某 个 随机 数 连接 起 来 ， 发 送 给 Bob: A, R4。 
(2) Bob 将 Alice 的 姓名 、 随 机 数 和 时 戳 连 接 起 来 ， 并 采用 与 Trent 共享 的 密 钥 加 密 。 此 后 ， 将 密 
文 连同 他 的 姓名 、 新 产生 的 随机 数 一 起 发 送 给 Trent: B, Rg, Es(4, Ra, Ts)。 
(3) Trent 生成 一 随机 的 会 话 密 钥 。 之 后 ， 他 生成 两 条 消息 : 第 一 条 是 采用 与 Alice 共享 的 密 钥 对 
Bob 的 身份 、Alice 的 随机 数 、 会 话 密 钥 和 时 戳 加 密 ; 第 二 条 是 采用 与 Bob 共享 的 密 钥 对 Alice 
的 身份 、 会 话 密 钥 和 时 戳 加 密 。 最 后 ， 他 将 这 两 条 消息 连同 Bob 的 随机 数 一 起 发 送 给 Alice: 
E4(B, R4, K, Tg), Es(A, K, Tg), Reo 
(4) Alice 对 属于 她 的 消息 解密 得 到 会 话 密 钥 K, HMA Ry 与 在 A) 中 的 值 相等 。 此 后 ，Alice 
发 送 给 Bob 两 条 消息 : 第 一 条 消息 来 自 Trent， 第 二 条 消息 是 采用 会 话 密 钥 对 Rs 加密 : El, 
K, Ts), Ex(Rs)。 
(5) Bob 对 第 一 条 消息 解密 得 到 会 话 密 钥 到， 并 确认 Ts 和 Rs 的 值 与 (2) 中 的 值 相 同 。 


这 个 协议 不 需要 同步 时 钟 ， 因 为 时 戳 仅 与 Bob 的 时 钟 有 关 ，Bob 只 对 他 自己 生成 的 
时 改进 行 检 查 。 

这 个 协议 的 优点 是 : 在 预定 的 时 限 内 , Alice 能 够 将 收 自 Trent 的 消息 用 于 随后 与 Bob 
的 认证 中 。 假 设 Alice 和 Bob 已 经 完成 了 上 述 协议 ， 并 建立 连接 开始 通信 ， 但 由 于 某 种 
原因 连接 被 中 断 。 在 这 种 情况 下 ，Alice 和 Bob 不 需要 Trent 的 参与 ， 仅 执行 3 步 就 可 以 
实现 相互 认证 。 此 时 ， 协 议 的 执行 过 程 如 下 : 

(1) Alice 将 Trent Æ G) 中 发 给 她 的 消息 ， 连 同一 个 新 随机 数 一 起 发 送 给 Bob: 
E,(A, K, Tp), Ri, « 

(2) Bob 采用 会 话 密 钥 对 Alice 的 随机 数 加 密 ， 连 同一 个 新 的 随机 数 发 送 给 Alice: 
Ry, Ex(Ri) 。 

(3) Alice 采用 会 话 密 钥 对 Bob 的 新 随机 数 加 密 ， 并 发 送 给 Bob: E (Rs)。 

在 上 述 协议 中 ， 采 用 新 随机 数 的 目的 是 为 了 防止 重 放 攻 击 。 


7. DASS 

分 布 认证 安全 服务 (Distributed Authentication Security Service, DASS ) 协 议 是 由 DEC 
(Digital Equipment Corporation) 公司 开发 的 , 其 目的 也 是 为 了 提供 双向 认证 和 密 钥 交 换 。 
与 前 面 介绍 的 协议 不 同 ，DASS 既 采 用 了 双 钥 密码 体制 ， 也 采用 了 单 钥 密码 体制 。 该 协 
议 假 设 Alice 和 Bob 各 自 具 有 一 个 私 钥 , 而 Trent 掌握 着 他 们 的 签名 公 钥 。 协 议 的 描述 如 
表 8-18 所 示 。 
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表 8-18 DASS 协议 


DASS 协议 

(1) Alice 将 Bob 的 身份 发 送 给 Trent: B。 

(2) Trent 将 Bob 的 公 钥 和 身份 连接 ， 并 采用 其 私 钥 7 对 消息 进行 数字 签名 : SAB, Ks), RISB 
Alice。 

(3) Alice 对 Trent 的 签名 加 以 验证 ， 以 证 实 她 收 到 的 公 钥 就 是 Bob 的 公 钥 。 她 生成 一 个 会 话 密 钥 
和 一 个 随机 的 公 钥 / 私 钥 对 KP， 并 用 天 对 时 戳 加 密 。 接 下 来 ， 她 采用 私 钥 KK 对 会 话 密 钥 的 有 
效 期 工 、 自 己 的 身份 和 Kp 进行 签名 。 之 后 ， 她 采用 Bob 的 公 钥 对 会 话 密 钥 天 加 密 ， 再 用 Kp 
对 其 签名 。 最 后 ， 她 将 所 有 的 消息 发 送 给 Bob: Ex(Ty), SKL, A, Kp), Sx, (Ex,(K)) 。 

(4) Bob 将 Alice 的 身份 发 送 给 Trent (这 里 的 Trent 可 以 是 另外 一 个 实体 ) : Ao 

(5) Trent 将 Alice 的 公 钥 和 身份 连接 ， 并 采用 其 私 钥 了 对 消息 进行 数字 签名 : Sx(4, Ky), 发 送 给 
Bob。 

(6) Bob 验证 Trent 的 签名 ， 以 证 实 他 收 到 的 公 钥 就 是 Alice 的 公 钥 。 此 后 ， 他 验证 Alice 的 签名 
并 得 到 Kp。 他 再 采用 Kp 验证 Sr, (Ex, (K) ,并 采用 他 的 私 钥 解密 得 到 会 话 密 钥 K。 最 后 ， 他 
采用 天 对 Ex(T4) 解 密 得 到 时 戳 Ti， 确认 这 条 消息 是 当前 发 送 的 ， 而 不 是 重 发 某 条 旧 消 息 。 

(7) 如 果 需 要 进行 相互 认证 ，Bob 采用 天 对 一 个 新 时 戳 加 密 后 发 送 给 Alice: Ex(7s)。 

(8) Alice 采用 天 对 收 到 的 消息 解密 ， 并 确认 此 消息 是 当前 发 送 的 ， 而 不 是 重 发 过 去 某 条 消息 。 


基于 DASS，DEC 公司 又 开发 出 新 的 协议 SPX。 此 协议 的 详细 情况 请 参阅 文献 
[Alagappan 等 1991]。 


8. Denning-Sacco 协议 
这 个 协议 也 采用 了 双 钥 体制 [Denning 等 1981]。 此 协议 假设 Trent 掌握 了 所 有 用 户 的 
公 钥 数据 库 。 协 议 描 述 如 表 8-19 所 示 。 
表 8-19 Denning-Sacco 协议 
Denning-Sacco 协议 
(1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : 4,B。 
(2) Trent 采用 其 私 钥 对 Bob 的 公 钥 和 Alice 的 公 钥 签名 ， 并 发 送 给 Alice: SB, Ka) SHA, K4)o 
G) Alice 首先 采用 其 私 钥 对 一 个 随机 的 会 话 密 钥 和 时 戳 签 名 ， 再 采用 Bob 的 公 钥 加 密 。 最 后 ， 
将 结果 连同 收 到 的 两 个 签名 公 钥 一 起 发 送 给 Bob: Es(S4(K, T4)), SAB, Kz), SKA, Ky)。 
(4) Bob 采用 其 私 钥 对 收 到 的 消息 解密 ， 此 后 采用 Alice 的 公 钥 对 Alice 的 签名 进行 验证 。 最 后 ， 
IG BRE BVA X. 
BJ, Alice 和 Bob 都 具有 一 个 会 话 密 铀 ， 他 们 可 以 它 进行 安全 的 通信 。 


Denning-Sacco 协议 看 似 安全 ， 其 实 不 然 。 在 Bob 与 Alice 一 起 完成 协议 后 ，Bob 可 
以 假冒 成 Alice。 通 过 表 8-20 会 看 到 Bob 是 如 何 假冒 Alice 的 。 

这 个 问题 很 容易 得 到 解决 。 只 要 将 网 络 用 户 的 身份 加 入 到 (3) 中 的 加 密 消息 中 ， 就 
可 以 成 功 地 防止 这 种 假冒 攻击 : Es,(S,(4,B,K,T,))， S,(B.K,)» S,(4,K,) 

HWE, Bob 就 无 法 将 旧 的 消息 重 发 给 Carol， 因 为 在 数字 签名 项 中 已 经 清楚 地 表明 通 
信和 是 在 Alice 和 Bob 两 个 用 户 之 间 进 行 。 
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表 8-20 假冒 攻击 
假冒 攻击 
(1) Bob 将 他 的 身份 和 Carol 的 身份 发 送 给 Trent: B, Co 
(2) Trent 将 Bob 和 Carol 的 签名 公 钥 发 送 给 Bob: S,(B, K,), Si(C. Kc)。 
G) Bob 将 过 去 收 自 Alice MBAS AAMT EL, RA Carol 的 公 钥 进行 加 密 ， 并 连同 Alice 和 
Carol 的 公 钥 证 明 (Certificate) 一 起 发 送 给 Carol: Ec (Ss(K, Ti)), Sp(A. K4): Sp (C. Ke) 
(4) Carol 采用 其 私 钥 对 收 到 的 消息 Eo (S4(K. Ta) 解密 ， 然 后 采用 Alice 的 公 钥 对 签名 加 以 验证 。 
最 后 ， 检 查 时 戳 是 否 仍然 有 效 。 
至 此 ，Carol 认为 他 正在 与 Alice 进行 通信 ，Bob 已 成 功 地 假冒 成 Alice。 实 际 上 ， 在 时 戳 的 有 效 期 
内 ，Bob 可 以 假冒 网 上 的 任何 用 户 。 


9. Woo-Lam 协议 
这 个 协议 也 采用 了 双 钥 体制 [Woo 等 1992]。 协 议 的 描述 如 表 8-21 所 示 。 
表 8-21 Woo-Lam 协议 


Woo-Lam 协议 

(1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : A, Bo 

(2) Trent 采用 其 私 钥 了 对 Bob KAH Ks 进行 签名 并 发 送 给 Alice: Sz(Ks)。 

(3) Alice 验证 Trent 的 签名 。 此 后 ， 采 用 Bob 的 公 钥 对 她 的 身份 和 产生 的 随机 数 加 密 ， 并 发 送 给 
Bob: Ex (4, Ry)» 

(4) Bob 采用 Trent 的 公 钥 Kr 对 Alice 的 随机 数 加 密 ， 并 连同 对 他 的 身份 、Alice 的 身份 一 起 发 送 
给 Trent: A, B, Ex (R4). 

(5) Trent 用 其 私 钥 对 Alice 的 公 钥 KK 进行 签名 后 发 送 给 Bob。 同 时 ， 他 也 对 Alice 的 随机 数 、 随 
机 会 话 密 钥 、Alice 的 身份 、Bob 的 身份 进行 签名 ， 再 用 Bob 的 公 钥 加 密 后 发 送 给 Bob: 
Sp (Ki) + Ex, (Sp(Ry, K, A, B)) « 

(6) Bob 验证 Trent 的 签名 。 此 后 ， 他 对 〈5) 中 消息 的 第 二 部 分 解密 ， 并 再 采用 Alice 的 公 钥 对 
得 到 的 Trent 的 签名 值 和 一 个 新 随机 数 Rs 加 密 ， 将 结果 发 送 给 Alice : 
Ex, (Sr (Ra K, A, B), Rg) 。 

(7) Alice 验证 Trent 的 签名 和 她 的 随机 数 R4。 此 后 ， 她 采用 会 话 密 钥 天 对 Bob 的 随机 数 Rs 加密 
后 ， 发 送 给 Bob: Ex(Rs)。 

(8) Bob 对 收 到 的 消息 解密 得 到 随机 数 Re， 并 检查 它 是 否 被 改动 过 。 


10. EKE 协议 

加 密 密 钥 交 换 (Encrypted Key Exchange, EKE) 协议 是 由 S. Bellovin 和 M. Merritt 
[Bellovin 等 1992] 提 出 的 。 协 议 既 采用 了 单 钥 体制 ， 也 采用 了 双 钥 体制 。 它 的 目的 是 为 
计算 机 网 络 上 的 用 户 提供 安全 性 和 认证 业务 。 这 个 协议 的 新 颖 之 处 是 : 采用 共享 密 钥 来 
加 密 随 机 生成 的 公 钥 。 通 过 运行 这 个 协议 ， 两 个 用 户 可 以 实现 相互 认证 ， 并 共享 一 个 会 
话 密 钥 Ko 

协议 假设 Alice 和 Bob〔〈 他 们 可 以 是 两 个 用 户 ， 也 可 以 是 一 个 用 户 、 一 个 主机 ) H 
享 一 个 口令 P。 协 议 描述 如 表 8-22 所 示 。 
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表 8-22 EKE 协 议 


EKE 协议 

(1) Alice 生成 一 随机 的 公 钥 / 私 钥 对 。 她 采用 单 钥 算法 和 密 钥 己 对 公 钥 天 ' 加 密 ， 并 向 Bob 发 送 以 
下 消息 : 4, Ep (K') o 

(2) Bob 采用 己 对 收 到 的 消息 解密 得 到 天 ' 。 此 后 ， 他 生成 一 个 随机 会 话 密 钥 天 ， 并 采用 K' 对 其 
wE, FORA P 加 密 ， 最 后 将 结果 发 送 给 Alice: Ep(Ex'(K)) 。 

G) Alice 对 收 到 的 消息 解密 得 到 天 。 此 后 , 她 生成 一 个 随机 数 Ry» 用 天 加 密 后 发 送 给 Bob: Ex(R4)。 

(4) Bob 对 消息 解密 得 到 Rs。 他 生成 另 一 个 随机 数 Rs, 采 用 天 对 这 两 个 随机 数 加 密 后 发 送 给 Alice: 
Ex(Ra, Rs) 

(5) Alice 对 消息 解密 得 到 Ry, Rs (WA Bob 的 Rs 与 G) 中 发 送 的 值 相同 ，Alice ERA K 
对 Rs 加密， 并 发 送 给 Bob: Ex(Rs)。 

(6) Bob 对 消息 解密 得 到 Rs。 假 设 收 自 Alice 的 Rs 57E (4) 中 Bob 发 送 的 值 相同 ， 协 议 就 完成 
了 。 通 信 双 方 可 以 采用 K 作为 会 话 密 钥 。 


EKE 可 以 采用 各 种 双 钥 算法 来 实现 , 例如 RSA、ElGamal 和 Diffie-Hellman 协议 等 。 

选用 和 设计 何 种 类 型 的 协议 要 根据 实际 应 用 对 确认 的 要 求 以 及 实现 的 机 制 来 定 ， 需 
要 考虑 多 方面 的 因素 ， 主 要 有 : 

(1) 认证 的 特性 ， 是 实体 认证 、 密 钥 认 证 和 密 钥 确认 的 任何 一 种 组 合 。 

(2) 认证 的 互 易 性 (Reciprocity)， 认 证 可 能 是 单方 的 ， 也 可 能 是 相互 的 。 

(3) 密 钥 的 新 鲜 性 (Freshness)， 保 证 所 建立 的 密 钥 是 新 的 。 

(4) 密 钥 的 控制 ， 有 的 协议 由 一 方 选 定 密 钥 值 ， 有 的 则 通过 协商 由 双方 提供 的 信息 
导出 ， 不 希望 由 单方 来 控制 或 预先 定 出 密 钥 值 。 

G) 有 效 性 ， 包 括 参 与 者 之 间 交 换 的 消息 次 数 、 传 送 的 数据 量 、 各 方 计算 的 复杂 度 ， 
以 及 减少 实时 在 线 计算 量 的 可 能 性 等 。 

(6) 第 三 方 参与 ， 包 括 有 关 第 三 方 参与 ， 在 有 第 三 方 参与 时 是 联机 还 是 脱 机 参与 ， 
以 及 对 第 三 方 信赖 程度 。 

(7) 是 否 采用 证 书 ， 以 及 证 书 的 类 型 。 

(8) 不 可 否认 性 ， 可 能 提出 收据 证 明 已 收 到 交换 的 密 钥 。 

有 关 密 钥 建 立 协议 的 研究 , 可 参阅 [Desmedt 1988, 1994; Diffie 等 1992; Maurer 
1993]。 


83 秘密 分 拆 协议 


假设 你 发 明了 一 种 饮料 ， 但 又 不 想 让 竞争 对 手 知道 该 饮料 的 配方 ， 那 么 就 必须 对 饮 
料 中 所 含 的 各 种 成 分 的 比例 加 以 保密 。 在 生产 过 程 中 ， 你 可 能 将 配方 告诉 最 信赖 的 几 个 
雇员 。 但 是 ， 如 果 他 们 中 的 一 个 背叛 了 你 而 跑 到 竞争 对 手 一 边 时 ， 秘 密 就 会 完全 泄漏 。 
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不 久 ， 你 的 对 手 就 可 能 生产 出 和 你 完全 一 样 的 产品 。 

在 现实 中 ， 如 何 来 解决 这 类 问题 呢 ? 这 就 涉及 秘密 分 拆 的 问题 。 人 们 往往 将 某 条 消 
息 分 成 许多 碎片 [Feistel 1970]， 从 每 一 碎片 本 身 不 会 看 出 什么 东西 。 但 是 ， 如 果 将 所 有 
的 碎片 重新 组 合 在 一 起 ， 就 会 重 显 消息 。 拿 上 面 的 例子 来 说 ， 如 果 每 个 雇员 只 掌握 配方 
中 一 种 成 分 的 比例 ， 那 么 只 有 所 有 的 雇员 在 一 起 才能 够 生产 出 这 种 饮料 。 任 何 一 个 雇员 
的 离开 只 能 带 走 属于 他 的 那 部 分 秘密 ， 这 部 分 秘密 将 毫 无 用 处 。 

最 简单 的 秘密 分 拆 方案 是 将 某 条 消息 分 给 两 个 人 。 下 面 介绍 一 种 秘密 分 拆 协议 ， 这 
里 Trent 将 某 条 消息 分 给 Alice 和 Bob， 如 表 8-23 所 示 。 


表 8-23 ”秘密 分 拆 协议 


秘密 分 拆 协议 
(1) Trent 生成 一 个 随机 比特 串 R， 它 与 消息 M 具有 相同 的 长 度 。 
(2) Trent 将 M 和 尺 进行 异 或 运算 ， 得 到 S: S=MOR. 
(3) Trent 将 及 分 给 Alice， 将 8 分 给 Bob。 
若 想 重组 这 条 消息 ，Alice 和 Bob 仅 需 执行 下 一 步 。 
(4) Alice 和 Bob 将 各 自得 到 的 比特 串 进行 异 或 运算 ， 就 会 得 到 消息 ， S=ROS. 


这 一 技术 是 绝对 安全 的 。 每 个 消息 碎片 本 身 毫 无 价值 。 从 本 质 上 看 ，Trent 采用 一 次 
随机 数 对 消息 加 密 ， 此 后 将 密 文 分 发 给 一 个 人 ， 而 将 一 次 随机 数 又 分 发 给 另外 一 个 人 。 
在 前 面 已 经 讨论 过 一 次 一 密 体制 ， 它 具有 绝对 的 安全 性 。 无 论 计算 能 力 有 多 高 ， 均 不 会 
从 某 一 碎片 中 推出 消息 本 身 。 

这 一 方案 很 容易 推广 到 有 多 个 人 的 情况 。 要 将 一 条 消息 分 拆 成 多 份 ， 就 要 采用 
多 个 随机 数 对 消息 进行 异 或 运算 。 在 如 表 8-24 所 示 的 例子 中 ，Trent 将 消息 分 成 了 
4 份 。 

表 8-24 ”裁决 协议 
裁决 协议 
(1) Trent 生成 3 个 随机 比特 串 R、S 和 7T， 它 们 与 消息 M 具有 相同 的 长 度 。 
(2) Trent 将 3 个 比特 串 与 消息 MA 异 或 ， 得 到 U: U=MOROSOT. 
(3) Trent ¥ R 发送 给 Alice，3 发 送 给 Bob, T 发 送 给 Carol, U 发 送 给 Dave。 


Alice、Bob、Carol 和 Dave 这 4 个 人 在 一 起 ， 就 可 以 重组 这 条 消息 。 
(4) Alice, Bob, Carol 和 Dave 集合 在 一 起 ， 计 算 : M=R®S®TOU. 


在 这 一 协议 中 ，Trent 有 绝对 的 权力 ， 并且 可 以 做 他 想 做 的 任何 事情 。 他 可 以 把 毫 无 
意义 的 东西 拿 出 来 ， 并 声称 这 是 消息 的 一 个 有 效 组 成 部 分 。 在 重组 这 条 秘密 消息 之 前 ， 
没有 人 知道 这 件 事 。 他 可 以 将 分 拆 的 消息 碎片 分 发 给 Alice, Bob, Carol 和 Dave。 在 解 
JÈ Bob 时 ， 他 会 告诉 每 个 人 只 有 Alice. Carol 和 Dave 掌握 的 消息 碎片 可 以 重组 消息 ， 
而 Bob 的 那 份 消息 碎 片 毫 无 用 处 。 因 为 这 条 秘密 的 消息 是 由 Trent 来 分 割 的 ， 所 以 Trent 
知道 这 条 秘密 的 消息 。 


然而 ， 这 个 协议 存在 一 个 问题 : 如 果 任 何 一 部 分 消息 碎片 丢失 了 ， 并 且 Trent 不 在 
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现场 ， 那 么 其 他 人 无 法 重组 这 一 消息 ， 这 等 于 丢失 了 这 条 消息 。 如 果 Carol 知道 饮料 的 
一 部 分 配方 ， 并 将 其 带 走 为 对 手工 作 ， 那 么 其 他 人 就 会 陷入 困境 。 虽 然 Carol 不 能 采用 
他 带 走 的 那 部 分 秘密 生产 出 相同 的 饮料 ， 但 是 对 Alice, Bob 和 Dave 来 说 也 一 样 。 由 于 
R、S、T 和 U 的 长 度 与 M 相同 ， 他 们 除了 知道 消息 的 长 度 以 外 ， 对 其 他 一 无 所 知 。 在 
8.4 节 中 ， 将 讨论 如 何 来 解决 这 个 问题 。 


84 ”会 议 密 钥 分 配 和 秘密 广播 协议 


8.4.1 秘密 广播 协议 


Alice 想 通 过 一 个 发 射 机 广播 一 条 消息 M, 然而 她 不 打算 让 所 有 的 听众 都 能 听 懂 。 她 
仅 想 有 选择 地 让 部 分 听众 听 懂 她 的 消息 M， 而 其 他 人 什么 也 听 不 到 。 

第 一 种 方法 : Alice 可 以 与 每 个 听众 共享 一 个 不 同 的 密 钥 (秘密 的 或 公开 的 )。 她 用 
某 个 随机 密 钥 天 对 消息 MK 加密 ， 然 后 用 预定 接收 者 的 密 钥 对 天 加 密 〈 记 为 玉 , )。 最 后 ， 
她 将 加 密 的 消息 和 所 有 加 密 的 密 钥 天 广播 出 去 。 收 听 者 Bob 采用 他 的 密 钥 对 所 有 K 解 
密 ， 并 寻找 那个 正确 的 密 钥 再 用 它 对 消息 解密 得 到 M: 若 Alice 不 介意 让 人 知道 她 
发 送 的 消息 是 给 谁 的 , 那么 她 可 以 在 KK, 的 后 面 附 加 上 预定 接收 者 的 姓名 。 接收 者 只 需 搜 
索 各 自 的 姓名 ， 并 对 相应 的 天 , 解密 即 可 。 

第 二 种 方法 : 这 一 方法 在 文献 [Chiou 等 1989] 中 做 了 介绍 。 首 先 ， 每 个 听众 与 Ailce 
共享 一 个 密 钥 玉 , ， 这 个 密 钥 比 所 有 加 了 密 的 消息 都 大 。 所 有 这 些 密 钥 都 是 两 两 互 素 的 。 
Alice 采用 某 个 随机 密 钥 天 对 消息 加 密 。 此 后 ， 她 生成 一 个 整数 R， 使 得 当 某 个 密 钥 要 用 
来 对 消息 解密 时 ，R=KmodK,; 否则 R=0modK,。 

例如 , 若 Alice 想 要 Bob, Carol 和 Ellen 接收 到 她 发 送 的 消息 , 而 不 让 Dave 和 Frank 
接收 到 ， 那 么 她 用 天 对 消息 加 密 ， 继 而 计算 R， 使 得 : 

R=K (modK;) 
R=K (modK.) 
R=0 (modK,) 
R=K (modK,) 
R=0 (mod K,) 

这 是 一 个 纯 代数 问题 ，Alice 很 容易 求 出 R。 当 听众 收 到 这 一 广播 时 ， 他 们 各 自 对 接 
收 到 的 密 钥 取 模 天 。。 如 果 他 们 被 允许 接收 消息 ， 他 们 就 能 够 恢复 出 密 钥 ， 和 否则 ， 他 们 
什么 也 不 会 得 到 。 

第 三 种 方法 : 文献 [Berkovitz 1991] 提 出 了 一 种 采用 了 门限 方案 的 方法 。 像 其 他 方法 
一 样 ， 每 个 可 能 的 接收 者 都 可 以 得 到 一 个 密 钥 ， 这 个 密 钥 是 尚未 建立 的 门限 方案 的 “ 投 
W”. Alice 也 为 自己 准备 一 些 密 钥 ， 给 系统 增加 某 些 随机 性 。 

首先 ， 假 设 有 大 个 听众 。 在 广播 消息 M 时 ，Alice 用 密 钥 玉 对 消息 M 加 密 ， 并 进行 
以 下 操作 : 
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(1) Alice 选择 一 个 随机 数 j。 这 个 随机 数 用 于 隐藏 消息 接收 者 的 数目 。 这 个 数 不 必 
很 大 ， 它 可 以 是 一 个 很 小 的 数 。 

(2) Alice 建立 一 个 (KE+7+L2F+7+D 门限 方案 ， 其 中 : 天 是 密 钥 ， 预 定 接收 者 的 
密 钥 就 是 这 一 门限 方案 的 “投影 ”; 非 预 定 接收 者 的 密 钥 不 是 “投影 ”; j 是 随机 选择 的 “ 投 
影 ” 个 数 ， 它 们 与 任何 一 个 密 钥 均 不 同 。 

(3) Alice 广播 t+ 个 随机 选择 的 “投影 了?， 其 中 任何 一 个 都 不 是 (2) 中 列 出 的 “ 投 
(4) 所 有 收 到 这 一 广播 的 听众 将 他 们 各 自 的 “投影 ”加 到 所 接收 的 + j 个 “投影 ” 
上 。 如 果 加 上 该 “投影 ”后 能 够 计算 出 密 钥 ， 那 么 他 们 就 恢复 出 密 钥 ， 从 而 就 可 解密 
出 用 天 加 密 的 消息 M; 如 果 加 上 该 “投影 ”后 不 能 够 计算 出 密 钥 到 ， 那 么 他 们 就 不 能 恢 
复出 密 钥 ， 从 而 就 不 能 解密 出 用 天 加 密 的 消息 M。 

此 外 ， 文 献 [Gong 1994] 还 介绍 了 其 他 方法 。 


8.4.2 会 议 密 钥 分 配 协议 
这 个 协议 将 实现 一 组 Cn 个 ) 用 户 通过 不 安全 的 信道 共享 某 个 密 钥 。 这 一 组 用 户 共 
享 两 个 大 素数 p Mq, ERT g Sq 具有 相同 的 长 度 。 协 议 如 表 8-25 所 示 。 
表 8-25 会 议 密 钥 分 配 协议 


会 议 密 钥 分 配 协议 

CL) FAP i( 二 1,2…,n)， 选 择 随机 数 mr<g， 并 广播 : z=g"modp 。 
(2) 每 个 用 户 验 证 : z8 =1(modp)， 计 1,2,…,n。 

(3) 用 户 广播 : G =(z/ z)" modp 。 

(4) 用 户 计算 :天 = (2 4) xx bx x? x---x xt} mod p o 


在 上 面 的 协议 中 ， 所 有 下 标 i 一 l,i 一 2 和 itl TR nH. EMT EL 
后 ， 所 有 组 内 用 户 均 共享 相同 的 密 钥 玉 ， 组 外 人 均 得 不 到 任何 有 用 信息 。 


这 个 协议 的 缺点 是 不 能 抵抗 中 间 人 攻击 。 在 文献 [Ingemarsson 等 1982] 中 , 作者 提出 
了 另外 一 种 会 议 密 钥 分 配 协议 。 


85 密码 协议 的 安全 性 


认证 协议 是 许多 分 布 系统 安全 的 基础 。 确 保 这 些 协议 能 够 安全 地 运行 是 极为 重要 的 。 
虽然 认证 协议 中 仅仅 进行 很 少 的 几 组 消息 传输 ， 但 是 其 中 的 每 一 消息 的 组 成 都 是 经 过 巧 
妙 设计 的 ， 而 且 这 些 消息 之 间 有 着 复杂 的 相互 作用 和 制约 。 在 设计 认证 协议 时 ， 人 们 通 
常 采用 不 同 的 密码 体制 。 而 且 所 设计 的 协议 也 常常 应 用 于 许多 不 同 的 通信 环境 。 但 是 ， 
现 有 的 许多 协议 在 设计 上 普遍 存在 着 某 些 安全 缺陷 。 造 成 认证 协议 存在 安全 漏洞 的 原因 
有 很 多 ， 但 主要 的 原因 有 如 下 两 个 : (协议 设计 者 有 可 能 误解 了 所 采用 的 技术 ， 或 者 不 
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恰当 地 照搬 了 已 有 协议 的 某 些 特性 ; @ 人 们 对 某 一 特定 的 通信 环境 及 其 安全 需求 研究 不 
够 。 人 们 很 少 知道 所 设计 的 协议 是 如 何 才能 够 满足 安全 需求 的 。 因 此 ， 在 近来 出 现 的 许 
多 协议 中 都 发 现 了 不 同 程度 的 安全 缺陷 或 元 余 消 息 。 

本 节 将 讨论 对 协议 的 攻击 方法 和 安全 性 分 析 方法 。 


8.5.1 对 协议 的 攻击 


在 分 析 协 议 的 安全 性 时 , 常用 的 方法 是 对 协议 施加 各 种 可 能 的 攻击 来 测试 其 安全 度 。 
密码 攻击 的 目标 通常 有 3 个 : 第 一 是 协议 中 采用 的 密码 算法 ， 第 二 是 算法 和 协议 中 采用 
的 密码 技术 ; 第 三 是 协议 本 身 。 由 于 本 节 仅 讨论 密码 协议 ， 因 此 ， 只 考虑 对 协议 自身 的 
攻击 ， 而 假设 协议 中 所 采用 的 密码 算法 和 密码 技术 均 是 安全 的 。 对 协议 的 攻击 可 以 分 为 
被 动 攻击 和 主动 攻击 。 

被 动 攻击 是 指 协议 外 部 的 实体 对 协议 执行 的 部 分 或 整个 过 程 实施 窃听 。 攻 击 者 对 协 
议 的 窃听 并 不 影响 协议 的 执行 ， 他 所 能 做 的 是 对 协议 的 消息 流 进 行 观察 ， 并 试图 从 中 获 
得 协议 中 涉及 的 各 方 的 某 些 信息 。 他 们 收集 协议 各 方 之 间 传 递 的 消息 ， 并 对 其 进行 密码 
分 析 。 这 种 攻击 实际 上 属于 一 种 惟 密 文 攻击 。 被 动 攻击 的 特点 是 难以 检测 ， 因 此 在 设计 
协议 时 应 该 尽量 防止 被 动 攻击 ， 而 不 是 检测 它们 。 

主动 攻击 对 密码 协议 来 说 具有 更 大 的 危险 性 。 在 这 种 攻击 中 ， 攻 击 者 试图 改变 协议 
执行 中 的 某 些 消息 以 达到 获取 信息 、 破 坏 系统 或 获得 对 资源 的 非 授权 访问 。 他 们 可 能 在 
协议 中 引入 新 的 消息 ， 删 除 消息 ， 蔡 换 消息 ， 重 发 旧 消 息 ， 干 扰 信 道 或 修改 计算 机 中 存 
储 的 信息 。 在 网 络 环境 下 ， 当 通信 各 方 彼此 互 不 信赖 时 ， 这 种 攻击 对 协议 的 威胁 显得 更 
为 严重 。 攻 击 者 不 一 定 是 局 外 人 ， 他 可 能 就 是 一 个 合法 用 户 ， 可 能 是 一 个 系统 管理 者 ， 
可 能 是 几 个 人 联手 对 协议 发 起 攻击 ， 也 可 能 就 是 协议 中 的 一 方 。 

若 主动 攻击 者 是 协议 涉及 的 一 方 ， 则 称 其 为 欺骗 者 〈Cheater)。 他 可 能 在 协议 执行 
中 撒谎 ， 或 者 根本 不 遵守 协议 。 欺 骗 者 也 可 以 分 为 主动 欺骗 者 和 被 动 欺骗 者 。 被 动 欺 骗 
者 遵守 协议 ， 但 试图 获得 协议 之 外 更 多 的 信息 ; 主动 欺骗 者 则 不 遵守 协议 ， 对 正在 执行 
的 协议 进行 干扰 ， 试 图 冒充 它 方 或 欺骗 对 方 ， 以 达到 各 种 非法 目的 。 

如 果 协 议 的 参与 者 中 多 数 都 是 主动 欺骗 者 ， 那 么 就 很 难保 证 协议 的 安全 性 。 但 是 ， 
在 某 些 情况 下 ， 合 法 用 户 可 能 会 检测 到 主动 欺骗 的 存在 。 显 然 ， 密 码 协议 对 于 被 动 欺骗 
应 该 是 安全 的 。 

在 实际 中 ， 对 协议 的 攻击 方法 是 多 种 多 样 的 。 对 不 同类 型 的 密码 协议 ， 存 在 着 不 同 
的 攻击 方法 。 很 难 将 所 有 攻击 方法 一 一 列 出 ， 这 里 仅仅 对 几 种 常用 的 攻击 方法 进行 详细 
介绍 。 为 了 便于 理解 ， 下 面 结合 一 个 具体 的 协议 对 这 些 攻击 方法 加 以 说 明 。 

图 8-4 a) 为 一 个 单 向 用 户 认 证 协议 ， 实 现 用 户 B 对 用 户 4 的 认证 功能 。 其 中 ，N 
为 一 次 随机 数 ，E,(N) 表示 采用 密 钥 KK, 对 和 N 加 密 。K, 要么 是 用 户 ASAP B 的 共享 密 
钥 ， 要 么 是 用 户 4 的 公 钥 。 图 8-4 (b) 的 协议 与 图 8-4(a) 完全 对 称 ， 它 实现 用 户 4 对 
FAP B 的 认证 。 将 图 8-4 (a) 和 图 8-4 (b) 的 两 个 协议 结合 起 来 ， 就 得 到 图 8-4〈c) 的 
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双向 认证 协议 ;将 其 做 进一步 的 简化 ， 便 得 到 图 8-4 Cd) 的 协议 。 对 于 单 钥 体制 来 说 ， 
及 和 K, 是 相同 的 ， 因 此 E,(N) 和 (WN) 表示 采用 同一 个 共享 密 钥 对 随机 数 加 密 。 

图 8-4(d) 中 的 双向 认证 协议 是 由 两 个 单 向 认证 协议 演化 而 来 的 。 初 看 似乎 无 可 挑 
吻 ， 但 是 它 却 不 安全 。 我 们 将 证 明 ， 当 此 协议 采用 单 钥 体 制 构 造 时 ， 攻 击 者 很 容易 采用 
不 同 的 攻击 方法 攻破 此 协议 。 在 后 面 ， 我 们 将 结合 这 个 例子 ， 讨 论 几 个 典型 的 攻击 协议 
的 方法 。 


1. 已 知 明文 攻击 

图 8-4 Cd) 所 示 的 协议 的 一 个 缺点 是 它 对 已 知 明文 攻击 的 开放 性 。 对 于 4 和 B 之 间 
交换 的 每 个 密 文 消息 比特 流 ， 均 可 以 在 随后 的 消息 流 中 找到 相应 的 明文 。 在 每 次 执行 协 
议 时 ， 被 动 攻击 者 可 以 通过 搭 线 窃听 的 方法 ， 收 集 到 两 个 明文 - 密 文 对 。 通 过 长 期 不 断 地 
窃听 ， 攻 击 者 至 少 可 以 建立 起 一 个 加 密 表 ， 甚 至 可 以 根据 所 采用 的 加 密 算 法 强度 ， 进 一 
步 攻 破 此 方案 并 发 现 加 密 密 钥 。 因 此 ， 在 设计 认证 协议 时 ， 一 般 要 求 所 交换 的 加 密 消息 
的 相应 明文 不 会 被 攻击 者 得 到 或 推出 。 


2. 选择 密 文 攻击 

当 攻击 者 将 已 知 明文 攻击 转化 为 选择 密 文 攻击 时 ， 他 所 起 的 作用 是 主动 性 的 而 不 是 
被 动 性 的 ， 这 种 威胁 就 更 为 严重 。 在 图 8-4 (d) 中 ， 攻 击 者 可 以 假扮 成 4 或， 向 另 一 
方 (8B RA) 发 送 某 个 经 过 选择 的 密 文 消息 ， 并 等 待 对 方 发 送 回 相应 的 解密 数值 。 攻 击 
者 并 不 知道 确切 的 密 钥 是 什么 ， 当 然 就 不 会 完成 第 3 个 消息 流 。 然 而 ， 他 可 以 积累 关于 
明文 - 密 文 对 的 有 关 知 识 ， 其 中 的 密 文 是 经 他 自己 精心 选择 的 (或 者 当 他 发 送 的 消息 是 明 
文 时 ， 收 到 的 回执 将 是 相应 的 密 文 )。 他 可 以 尝试 采用 特定 的 密 文 比特 串 ， 如 全 “0” 全 
“1” 或 其 他 消息 ， 来 更 快 地 解 出 密 钥 。 因 此 ， 在 设计 协议 时 ， 通 常 期 望 攻击 者 不 能 欺骗 
合法 用 户 来 获取 选择 密 文 的 相应 明文 ， 或 者 选择 明文 的 相应 密 文 。 


A B A BA EN) BA B 
EN) EN) EN) ~ EN = 
2 = 
$ j J 
N N ea Ni FAN 2) 
EAN) Ny 
= 2 


- 


(a) (b) ~o (d) 
图 8-4 用户 认证 协议 举例 

3. 预言 者 会 话 攻击 

实际 上 ， 在 上 述 简单 协议 中 ， 如 果 4 和 B 采 用 相同 的 密 钥 ,攻击 者 无 须 破译 出 密 钥 
就 能 攻破 此 认证 协议 。 这 种 攻击 如 图 8-5 所 示 。 在 图 8-5 中 ， 攻 击 者 X BRM A, iit 
向 发送 某 个 加 密 的 随机 数 E( 和 N; ) 开始 会 话 。B 则 响应 此 会 话 请 求 ， 向 了 发 回 解密 的 消 
息 ,和 某 个 加 密 的 随机 数 E(N,) 。 虽 然 卫 不 能 对 (NN, ) 解 密 得 到 N, ， 但 是 他 可 以 通过 
对 4 实施 选择 密 文 攻击 来 得 到 N, 。4 作为 预言 者 向 提供 必要 的 解密 值 N, 。 首 先 ， 攻 
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击 者 假装 成 用 户 B， 通 过 向 4 RAMENA E(N) 开始 会 话 。4 则 响应 会 话 请 求 发 回 NN， 
和 某 个 加 密 的 随机 数 E(N;)。 一 旦 X RETN, RE 7 7 
抛弃 4， 转 过 来 与 B 会 话 ， 而 根本 不 去 考虑 如 何 解密 N, 
E(N,)> TÉ B 发送 N, ， 攻 击 者 蕊 就 会 成 功 地 假冒 
用 户 4， 取 得 用 户 B 的 信赖 而 完成 认证 协议 。 

这 个 例子 暴露 了 协议 中 存在 的 一 个 基本 缺陷 ， 因 EN) EN) 
此 ， 在 设计 认证 协议 时 ， 协 议 每 个 消息 流 中 用 到 的 密 ao: ES 
码 消息 必须 有 所 区 别 ， 使 得 攻击 者 不 可 能 从 第 2 个 消 — 
息 流 中 推出 、 重 组 或 伪造 出 第 3 个 消息 流 中 必需 的 = S 
消息 。 N, 

实际 上 ， 认 证 协议 的 这 个 缺陷 已 经 被 发 现 ， 并 得 
到 了 改进 ， 成 为 ISO SC27 标准 协议 。 在 这 个 协议 中 ， 图 8-5 ”预言 者 会 话 攻 击 
协议 的 发 起 者 4 发 送 的 “提问 ”消息 是 为 了 使 对 方 表 
明 其 具有 加 密 某 个 给 定 明文 的 能 力 ， 而 B 发 出 的 “提问 ”是 为 了 让 对 方 表明 其 具有 
解密 某 个 给 定 密 文 的 能 力 。 这 样 ， 攻 击 者 便 不 会 将 一 方 用 做 预言 者 “解密 服务 器 ” 
去 对 付 另 一 方 。 此 时 也 许 有 人 肯定 地 认为 此 协议 不 会 有 其 他 缺陷 ， 但 遗憾 的 是 ， 改 
进 后 的 协议 仍然 存在 着 缺陷 。 实 际 上 ， 这 个 缺陷 在 原始 的 协议 中 同样 存在 。 下 面 将 
对 此 加 以 分 析 。 


4. 并 行 会 话 攻 击 

对 于 上 面 讨论 的 协议 ， 我 们 发 现 它 具有 一 个 普遍 性 的 缺陷 ， 即 不 能 抵抗 并 行 会 话 攻 
击 。 这 里 ， 攻 击 者 所 起 的 作用 是 被 动 的 ， 而 非 主动 的 。 

首先 ， 攻 击 者 了 截获 由 4 向 B 发 出 的 “提问 ”随机 数 N, ， 立 刻 反手 将 其 发 送 给 4。 
这 里 ， 攻 击 者 根本 不 理 皮 B， 而 把 4 变 成 对 付 他 自己 的 预言 者 。 由 于 攻击 者 了 不 能 对 A 
的 “提问 ”Wi 做 出 相应 的 “回答 ”E(N)， 他 只 有 假装 成 B 试 图 与 4 进行 会 话 。 显 然 
攻击 者 民选 择 了 N, 作为 对 4 发 出 的 “提问 ”， 让 4 来 蔡 他 精确 地 计算 完成 认证 所 必需 的 
响应 消息 已 CV) 。 同 时 ， 在 并 行 会 话 中 ，4 也 发 送出 它 自己 的 加 密 “ 提 问 ” 消 息 ECV,) 。 
X TERRE E(N,) 和 E(N,) 后 ,立即 将 它们 回 送 给 4。4 RIK N, 完成 第 一 次 认证 交换 过 程 ， 
T N, 又 恰恰 就 是 工 为 完成 第 二 次 认证 交换 所 必需 的 数值 。 这 样 , 开 便 在 原始 会 话 及 其 并 
行 会 话 中 成 功 地 扮演 了 五 的 角色 。 

对 于 不 同 的 网 络 结构 ， 在 不 同 协议 层 上 的 许多 连接 建立 协议 往往 不 允许 同时 建立 
多 个 并 行 会 话 。 然 而 ， 在 某 些 现 存 的 网 络 环境 下 ， 这 种 并 行 会 话 在 设计 上 是 允许 的 。 
在 这 些 允 许 的 网 络 环境 下 设计 密码 协议 时 ， 设 计 者 必须 小 心 对 待 这 种 攻击 。 协 议 必 须 
能 够 检测 在 某 次 会 话 中 收 到 的 第 一 个 “提问 ”不 是 重 发 男 外 某 个 会 话 中 的 “提问 ” 然 
而 ， 将 会 话 的 安全 性 留 给 用 户 去 考虑 是 十 分 危险 的 ， 必 须 在 进行 协议 设计 时 就 尽量 避 
免 这 种 攻击 。 


Ni 
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并 行 会 话 攻击 揭示 了 许多 简单 认证 协议 存在 的 另 一 个 基本 的 缺陷 。 要 克服 这 种 缺陷 ， 
协议 第 二 个 消息 流 中 的 密码 表达 式 就 必须 是 非 对 称 的 ， 也 就 是 与 方向 有 关 ， 使 得 由 4 发 
起 的 协议 中 的 值 ， 不 能 用 于 由 B 发 起 的 协议 之 中 。 

基于 以 上 的 考虑 , 即 : 在 第 二 个 消息 流 中 的 密码 消息 必须 是 非 对 称 的 (具有 方向 性 )， 
并 且 要 与 第 3 个 消息 流 有 所 区 别 。 也 许 有 人 提出 如 图 8-6 所 示 的 协议 ， 并 认为 它 是 安全 
的 。 在 图 中 ， 对 随机 数 N 加 密 已 换 成 对 Ni 的 函数 加 密 (xor 表示 异 或 运算 )。 它 除了 仍 
然 可 以 遭 到 已 知 明文 或 选择 明文 攻击 之 外 ， 采 用 这 种 简单 的 函数 实际 上 没有 解决 任何 问 
题 。 图 8-6 所 示 的 协议 仍然 可 以 遭 到 并 行 会 话 攻击 。 攻 击 者 只 要 在 原来 的 消息 上 附加 适 
当 的 偏 值 ， 就 很 容易 将 其 攻破 。 具 体 攻 击 方法 如 图 8-7 所 示 。 


N, xor B xor A 
E(N, xor B), E(N,) 


Ni 


E(N, xor B), E(N>) 


E(N, xor B), E(N>) M 


N N, 


图 8-6 满足 非 对 称 要 求 的 双向 认证 协议 图 8-7 偏 值 攻 击 通 过 并 行 会 话 攻击 ) 


通过 上 面 的 讨论 可 以 发 现 , 图 8-2 中 被 认为 十 分 安全 的 协议 可 以 用 多 种 方法 攻破 。 
在 实际 中 ， 攻 击 者 对 一 些 看 似 安全 的 协议 通过 仔细 地 分 析 ， 可 以 发 起 诸如 预言 者 会 话 
攻击 、 并 行 会 话 攻击 、 偏 值 攻 击 或 其 他 类 型 的 攻击 。 这 些 攻击 统称 为 交织 攻击 
(Interleaving Attacks)。 因 此 ， 如 果 所 设计 的 协议 是 安全 的 ， 它 就 必须 能 够 抵抗 交织 攻 
击 。 如 何 设计 的 协议 才 是 安全 的 ， 这 是 许多 协议 设计 者 关心 的 问题 。 迄 今 为 止 ， 还 没 
有 更 好 、 更 系统 的 方法 来 设计 安全 的 密码 协议 ， 这 里 只 能 将 现 有 的 一 些 最 新 研究 成 果 
介绍 给 读者 。 


8.5.2 ”密码 协议 的 安全 性 分 析 

目前 ， 对 密码 协议 进行 分 析 的 方法 有 两 种 ， 一 种 是 攻击 检验 方法 ， 另 一 种 是 采用 形 
式 语言 逻辑 证 明 的 方法 。 

1. 攻击 检验 方法 

这 种 方法 就 是 采用 现 有 的 一 些 有 效 的 协议 攻击 方法 ， 逐 个 对 协议 进行 攻击 ， 检 验 其 
是 否 具有 抵御 这 些 攻击 的 能 力 。 分 析 时 ， 主 要 采用 语言 描述 的 方法 ， 对 协议 所 交换 的 密 
码 消息 的 功能 进行 剖析 。 
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2. 形式 语言 逻辑 分 析 法 

采用 形式 语言 对 密码 协议 进行 安全 性 分 析 的 基本 方法 归纳 起 来 有 4 种 : 

a) 采用 非 专门 的 说 明 语言 和 验证 工具 来 对 协议 建立 模型 并 加 以 验证 。 

(2) 通过 开发 专家 系统 ， 对 密码 协议 进行 开发 和 研究 。 

(3) 采用 能 够 分 析 知 识 和 信任 的 逻辑 ， 对 协议 进行 安全 性 研究 。 

(4) 基于 密码 系统 的 代数 特点 ， 开 发 某 种 形式 方法 ， 对 协议 进行 分 析 和 验证 。 

第 一 种 方法 是 将 密码 协议 看 成 为 计算 机 程序 ， 并 校 验 其 正确 性 。 然 而 ， 证 明了 正确 
性 不 等 于 证 明了 安全 性 。 采 用 这 一 方法 不 能 检测 协议 存在 的 安全 缺陷 。 

第 二 种 方法 采用 专家 系统 来 确定 协议 是 否 能 够 达到 某 个 不 期 望 的 状态 。 尽 管 这 一 方 
法 能 够 很 好 地 识别 出 存在 的 安全 缺陷 ， 但 它 不 能 保证 安全 性 。 它 易于 发 现 协 议 中 是 否 存 
在 某 一 已 知 的 缺陷 ， 而 不 可 能 发 现 未 知 的 缺陷 。 这 种 方法 的 应 用 实例 是 美国 军 方 开发 的 
Interrogator 系统 [Millen 等 1987]。 

第 三 种 方法 是 迄今 使 用 最 为 广泛 的 一 种 方法 。 美 国 DEC 公司 的 Michael Burrows, 
Matin Abadi 和 剑桥 大 学 的 Roger Needham 提出 并 开发 了 一 个 分 析 知 识 和 信任 的 形式 逻 
辑 模型 ， 称 为 BAN 逻辑 (Burrows et al 1989)。 该 逻辑 假设 认证 是 完整 性 〈Integrity) 和 
新 鲜 性 〈Freshness) 的 一 个 函数 。 在 协议 的 整个 运行 过 程 中 ， 采 用 逻辑 规则 来 跟踪 这 
两 个 属性 。BAN 逻辑 不 能 提供 安全 性 证 明 ， 它 只 能 用 来 推理 认证 。 由 于 BAN 逻辑 简 
单 、 直 观 ， 便 于 掌握 和 使 用 ， 而 且 可 以 成 功 地 发 现 协议 中 存在 的 安全 缺陷 ， 因 此 得 到 
了 广泛 应 用 。 

第 四 种 分 析 密 码 协议 的 方法 是 将 密码 协议 模型 转化 为 一 个 代数 系统 ， 表 述 参与 者 对 
协议 知识 的 状态 ， 然 后 分 析 某 种 状态 的 可 达 性 〈Attainability)。 然 而 ， 这 种 方法 没有 像 
BAN 逻辑 那样 引起 人 们 足够 的 重视 。 

目前 , 美国 海军 实验 室 的 NRL 协议 分 析 器 可 能 是 这 些 技术 最 成 功 的 应 用 。 它 被 用 来 
发 现 协议 中 可 能 存在 的 未 知 和 已 知 的 缺陷 。 此 外 ， 人 们 还 尝试 采用 NRL 协议 分 析 器 来 设 
计 密 码 协议 。 

在 对 缺少 可 信赖 的 第 三 方 服务 器 实时 参与 的 认证 协议 进行 证 明 时 , BAN 认证 逻辑 存 
在 一 定 的 局 限 性 。 为 了 便于 对 双 钥 体制 构造 的 密码 协议 进行 分 析 ， 不 得 不 做 出 这 样 的 假 
设 : 即 由 证 书 机 构 CA 所 颁发 的 证 书 均 是 新 的 〈Fresh)。 在 做 出 这 个 最 基本 的 假设 之 后 ， 
问题 就 可 以 得 到 解决 了 。 在 实际 中 ， 这 一 假设 是 合理 的 。 因 为 证 书 的 “新 鲜 性 ”可 以 由 
证 书 中 所 含 的 证 书 有 效 期 以 及 作废 证 书 清 单 CRL 来 保证 [Aziz 等 1994]。 

对 于 涉及 Diffie-Hellman 密 钥 交 换 系统 的 协议 ，BAN 逻辑 无 法 对 其 进行 分 析 。 为 了 
打破 BAN 逻辑 的 局 限 性 ， 许 多 文献 对 BAN 逻辑 进行 了 某 些 必要 的 改进 或 扩展 ， 这 里 将 
这 些 逻 辑 分 别称 为 GNY、AT、VO 和 SVO 逻辑 。GNY 和 AT 逻辑 对 BAN 进行 了 扩展 ， 
增加 了 许多 逻辑 规则 以 便 更 好 地 分 析 同 一 类 协议 。VO 逻辑 则 在 BAN 逻辑 的 基础 上 ， 增 
加 了 对 Diffie-Hellman 密 钥 交换 系统 的 处 理 能 力 。 而 SVO 逻辑 则 对 以 上 3 种 逻辑 进行 了 
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归纳 和 总 结 ， 使 其 具有 更 加 完善 的 形式 分 析 能 力 。 即 便 如 此 ， 将 形式 语言 应 用 于 密码 协 
议 分 析 仍然 是 一 个 全 新 的 领域 。 

各 种 分 析 方 法 都 有 其 特点 和 局 限 性 ， 应 综合 分 析 利 用 。 许 多 文献 [Boyd 等 1993; 
Kemmerer 等 1994; Simmons 1994a, 1994b; Meadows 1994; van Oorschot 1993a; Gligor 
等 1991] 都 讨论 了 这 一 理论 的 实用 问题 。 

应 当 指 出 ， 通 过 攻击 检验 方法 和 形式 逻辑 分 析 法 ， 都 只 是 协议 安全 性 的 必要 条 件 ， 
而 不 是 协议 安全 性 的 充分 条 件 。 攻 击 检验 法 可 以 验证 协议 有 无 已 知 类 型 的 安全 漏洞 ， 不 
能 证 明 能 对 付 将 出 现 的 新 的 攻击 方法 ;形式 逻辑 分 析 法 在 将 协议 以 形式 语言 表述 时 ， 常 
常 难以 将 所 有 可 利用 信息 纳入 ， 因 而 不 能 对 协议 进行 完善 的 数学 描述 。 这 一 方法 还 有 待 
完善 和 发 展 。 有 关 密 码 协 议 的 设计 规范 和 形式 语言 证 明 ， 请 参考 有 关 书 籍 和 文献 [Wang 
等 1999]。 


习题 


一 、 填 空 题 
1. 计算 机 网 络 中 使 用 的 好 的 协议 ， 不 仅 应 该 具有 性 、 性 
和 性 ， 而 且 应 该 具有 足够 高 的 性 。 
. 为 有 效 地 防止 中 间 人 攻击 ， 在 密 钥 交换 协议 中 应 采用 技术 。 
. 密 钥 建立 协议 主要 分 为 协议 和 协议 。 
. Diffie-Hellman 算法 的 安全 性 是 基于 。 
. 密 钥 认证 分 为 、 和 三 种 。 
. 认证 包含 、 和 7 
. 认证 的 密 钥 建立 协议 有 、 、 


Nan 上 上 wm Dh 


8. 密码 攻击 的 目标 有 、 和 5 
. 对 协议 进行 攻击 的 典型 方法 有 、 x 和 
10. 对 密码 协议 的 安全 性 进行 分 析 的 方法 有 和 


O 


. 什么 是 协议 ? 协议 具有 哪些 特点 ? 协议 有 几 种 类 型 ? 

- 什么 是 仲裁 协议 ? 仲裁 协议 有 哪些 特点 ? 

. 什么 是 裁决 协议 ? 裁决 协议 有 哪些 特点 ? 

. 什么 是 自 执行 协议 ? 自 执行 协议 有 哪些 特点 ? 

- 一 个 好 的 协议 应 具备 哪些 特点 ? 

- 按照 密码 协议 的 功能 来 分 类 ， 密 码 协议 可 以 被 分 成 哪 几 类 ? 

. 什么 是 中 间 人 攻击 ? 中 间 人 攻击 能 够 成 功 实施 的 真正 原因 是 什么 ? 


AAO F&F WN 一 
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8. Diffie-Hellman 算法 能 否 用 来 对 消息 进行 加 密 和 解密 ? 为 什么 ? 

9. 掺 杂 是 对 付 字 上 典 攻 击 的 有 效 方法 。 请 问 它 是 否 能 抗击 对 单一 口令 的 预定 攻击 ? 为 
什么 ? 

10. 在 密码 协议 中 ， 一 次 性 随机 数 (Nonce〉 和 时 改 (Timestamp) 的 作用 是 什么 ? 

11. 对 密码 协议 进行 安全 性 分 析 有 哪 几 种 方法 ? 
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91 PKI 的 基本 概念 


9.1.1 PKI 的 定义 


PKI 是 一 种 遵循 标准 的 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。 所 谓 
基础 设施 ， 就 是 在 某 个 大 型 环境 下 普遍 适用 的 基础 和 准则 ， 只 要 遵循 相应 的 准则 ， 不 同 
实体 即 可 方便 地 使 用 基础 设施 所 提供 的 服务 。 例 如 ， 通 信 基 础 设施 《网 络 ) 允许 不 同 机 
器 之 间 为 不 同 的 目的 交换 数据 ， 电 力 供应 基础 设施 可 以 让 各 种 电力 设备 获得 运行 所 需要 
的 电压 和 电流 。 

公 钥 基础 设施 的 目的 是 从 技术 上 解决 网 上 身份 认证 、 电 子 信息 的 完整 性 和 不 可 抵赖 
性 等 安全 问题 ， 为 网 络 应 用 (如 浏览 器 、 电 子 邮 件 、 电 子 交易 ) 提供 可 靠 的 安全 服务 。 
PKI 是 遵循 标准 的 密 钥 管理 平台 ， 能 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 
密码 服务 所 需 的 密 钥 和 证 书 管理 。 

PKI 最 主要 的 任务 是 确立 可 信任 的 数字 身份 ， 而 这 些 身份 可 被 用 来 和 密码 机 制 相 结 
合 ， 提 供认 证 、 授 权 或 数字 签名 验证 等 服务 ， 而 使 用 该 类 服务 的 用 户 可 在 一 定 程度 确信 
自己 的 行为 未 被 误导 。 这 一 可 信 的 数字 身份 通过 数字 证 书 〈 也 称 公 钥 证 书 ) 来 实现 。 数 
字 证 书 〈 如 X.509 证 书 ， 可 参见 9.2 节 ) 是 用 户 身份 与 其 所 持 公 钥 的 结合 。 

在 实用 中 ，PKI 体系 在 安全 、 易 用 、 灵 活 、 经 济 的 同时 ， 必 须 充分 考虑 互 操 作 性 和 
HYP ELE. PKI 体系 所 包含 的 证 书 机 构 (Certificate Authority, CA), 注册 机 构 (Registration 
Authority, RA)、 策 略 管理 、 密 钥 (Key) 与 证 书 〈Certificate) 管理、 密 钥 备份 与 恢复 、 
撤销 系统 等 功能 模块 需 有 机 结合 ， 此 外 ， 安 全 应 用 程序 的 开发 者 不 必 再 关心 复杂 的 数学 
模型 和 运算 ， 只 需 直 接 按照 标准 使 用 API 接口 即 可 实现 相应 的 安全 服务 。 


9.1.2 PKI 的 组 成 


1. 证 书 机 构 

PKI 系统 的 关键 是 实现 密 钥 管理 。 目 前 较 好 的 密 钥 管理 解决 方案 是 采取 证 书 机 制 。 
数字 证 书 即 是 公开 密 钥 体 制 的 一 种 密 钥 管理 媒介 。 数 字 证 书 是 一 种 具有 权威 性 的 电子 文 
档 ， 其 作用 是 证 明证 书 中 所 列 用 户 身份 与 证 书 中 所 列 公 开 密 钥 合法 且 一 致 。 要 证 明 其 合 
法 性 ， 就 需要 有 可 信任 主体 对 用 户 证 书 进行 公证 ， 证 明 主 体 的 身份 及 其 与 公 钥 的 匹配 关 
系 ， 证 书 机 构 即 是 这 样 的 可 信任 机 构 。 

CA 也 称 数 字 证 书 认证 中 心 〈 认 证 中 心 )， 作 为 具有 权威 性 、 公 正 性 的 第 三 方 可 信任 
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机 构 ， 是 PKI 体系 的 核心 构件 。CA 负责 发 放 和 管理 数字 证 书 ， 其 作用 类 似 于 现实 生活 
中 的 证 件 颁发 部 门 ， 如 护照 办 理 机 构 。 

CA 提供 网 络 身份 认证 服务 、 负 责 证 书签 发 及 签发 后 证 书生 命 周 期 中 的 所 有 方面 的 
管理 ， 包 括 跟 踪 证 书 状 态 且 在 证 书 需要 撤销 《吊销 ) 时 发 布 证 书 撤销 通知 。CA 还 需 维 
护 证 书 档案 和 证 书 相关 的 审计 ， 以 保障 后 续 验 证 需求 。CA 系统 的 功能 如 图 9-1 Pra, YE 
细 的 证 书 与 密 钥 管理 请 参见 9.2 节 。 


2. 注册 机 构 

注册 机 构 (RA， 也 称 注册 中 心 ) 是 数字 证 书 注册 审批 机 构 ， 是 认证 中 心 的 延伸 ， 与 
CA 在 逻辑 上 是 一 个 整体 ， 执行 不 同 的 功能 。RA 按照 特定 政策 与 管理 规范 对 用 户 的 资格 
进行 审查 ， 并 执行 “是 否 同意 给 该 申请 者 发 放 证 书 、 撤 销 证 书 ” 等 操作 ， 承 担 因 审 核 错 
误 而 引起 的 一 切 后 果 。 如 果 审 核 通过 ， 即 可 实时 或 批量 地 向 CA 提出 申请 ， 要 求 为 用 户 
签发 证 书 。RA 并 不 发 出 主体 的 可 信 声 明 〈 证 明 )， 只 有 证 书 机 构 有 权 颁 发 证 书 和 撤销 证 
P. RA 将 与 具体 应 用 的 业务 流程 相 联系 ， 是 最 终 客 户 和 CA 交互 的 纽带 ， 是 整个 CA 中 
心得 以 运作 的 不 可 缺少 的 部 分 。 

RA 负责 对 证 书 申请 进行 资格 审查 ， 其 主要 功能 如 下 。 

(1) 填写 用 户 注册 信息 : 蔡 用 户 填写 有 关 用 户 证 书 申请 信息 。 

(2) 提交 用 户 注册 信息 : 核对 用 户 申请 信息 ， 决 定 是 否 提交 审核 。 

(3) 审核 : 对 用 户 的 申请 进行 审核 ， 决 定 “ 批 准 ” 还 是 “拒绝 ”用 户 的 证 书 申请 。 

(4) 发 送 生 成 证 书 申请 : 向 CA 提交 生成 证 书 请 求 。 

G) 发 放 证 书 : 将 用 户 证 书 和 私 钥 发 放 给 用 户 。 

(6) 登记 黑 名单 : 对 过 期 的 证 书 和 撤销 的 证 书 及 时 登记 ， 并 向 CA 发 送 。 

(7) 证 书 撤销 列表 管理 : 确保 CRL 的 及 时 性 ， 并 对 CRL 进行 管理 。 

(8) 日 志 审 计 : 维护 RA 的 操作 日 志 。 

O) 自身 安全 保证 : 保障 服务 器 自身 密 钥 数据 库 信 息 、 相 关 配 置 文件 安全 。 


RA 系统 的 功能 如 图 9-2 所 示 。 
RA 系 统 功能 
CA 系统 功能 l Lt 
sa || 提 || 审 || 发 || 登 | 证 | 日 || 自 
I 写 || 交 | 核 || 送 || 放 || 记 || 书 || 志 || 身 
pa fl pe = 用 | 用 H |) uk || E | fi || |] Ze 
WE | [WE | | WE] | uE |W) S |E || Æ Pile RIB |] |] |] ib |] 
| | 韦 || 书 || 书 | | 韦 || 首 || 志 | | a vel] | 证 | | Bilal” | ee 
颁 更 | | YA) | g | | EY | HK HE || AE 书 表 证 
成 || 发 || 销 || 新 || 档 管 | | 复 |e 申 管 
理 aE 请 理 
图 9-1 CA 系统 的 功能 图 9-2 RA 系统 的 功能 
3. 证 书 发 布 库 


证 书 发 布 库 〈 简 称 证 书库 ) 集中 存放 CA 颁发 证 书 和 证 书 撤销 列表 (Certificate 
Revocation List，CRL)。 证 书库 是 网 上 可 供 公 众 进行 开放 式 查询 的 公共 信息 库 。 公 众 查 
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询 的 目的 通常 有 两 个 : 得 到 与 之 通信 的 实体 的 公 钥 ; @ 验 证 通信 对 方 的 证 书 是 否 在 “ 黑 
名 单 ” 中 。 

在 轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol，LDAP) 尚未 出 现 以 
前 ,通常 由 各 应 用 程序 使 用 各 自 特定 的 数据 库 来 存储 证 书 及 CRL， 并 使 用 各 自 特定 的 协 
议 实现 访问 。 这 种 方案 存在 很 大 的 局 限 性 ， 因 为 数据 库 和 访问 协议 的 不 兼容 性 ， 使 得 人 
们 无 法 使 用 其 他 应 用 程序 实现 对 证 书 及 CRL 的 访问 。LDAP 作为 一 种 标准 的 开发 协议 ， 
使 以 上 问题 得 到 了 解决 。 此 外 ， 证 书库 还 应 该 支持 分 布 式 存放 ， 即 将 与 本 组 织 有 关 的 证 
书 和 证 书 撤销 列表 存放 在 本 地 , 以 提高 查询 效率 。 在 PKI 所 支持 用 户 数量 较 大 的 情形 下 ， 
PKI 信息 的 及 时 性 和 强 有 力 的 分 布 机 制 将 非常 关键 。LDAP 目录 服务 支持 分 布 式 存放 ， 
是 大 规模 PKI 系统 成 功 实施 的 关键 ， 也 是 创建 高 效 的 认证 机 构 的 关键 技术 。 


4. 密 钥 备份 与 恢复 

针对 用 户 密 钥 丢失 的 情形 ，PKI 提供 密 钥 备份 与 恢复 机 制 。 密 钥 备 份 和 恢复 只 能 针 
对 加 /解密 密 钥 ， 而 无 法 对 签名 密 钥 进 行 备份 。 数 字 签 名 是 用 于 支持 不 可 否认 服务 的 ， 有 
时 间 性 要 求 ， 因 此 不 能 备份 /恢复 签名 密 钥 。 

密 钥 备份 在 用 户 申请 证 书 阶段 进行 ,如果 注 册 声 明 公 / 私 钥 对 是 用 于 数据 加 密 的 ， 则 
CA 即 可 对 该 用 户 的 私 钥 进行 备份 。 当 用 户 丢失 密 钥 后 ， 可 通过 可 信任 的 密 钥 恢复 中 心 
或 CA 完成 密 钥 恢 复 。 


5. 证 书 撤销 

证 书 由 于 某 些 原因 需要 作废 时 ， 如 用 户 身 份 姓名 的 改变 、 私 钥 被 窃 或 泄漏 、 用 户 与 
所 属 企业 关系 变更 等 ，PKI 需要 使 用 一 种 方法 警告 其 他 用 户 不 要 再 使 用 该 用 户 的 公 钥 证 
书 ， 这 种 警告 机 制 被 称 为 证 书 撤销 。 

证 书 撤销 的 主要 实现 方法 有 以 下 两 种 。 

(1) 利用 周期 性 发 布 机制 ， 如 证 书 撤销 列表 (Certificate Revocation List，CRL )。 证 
书 撤销 消息 的 更 新 和 发 布 频率 非常 重要 ， 两 次 证 书 撤销 信息 发 布 之 间 的 间隔 称 为 撤销 延 
ÀR. ERE PKI 系统 中 ， 撤 销 延 迟 必须 遵循 相应 的 策略 要 求 。 

(2) 在 线 查询 机 制 ,， 如 在 线 证 书 状态 协议 (Online Certificate Status Protocol, OCSP). 

在 9.2 节 将 详细 介绍 证 书 撤销 方法 。 


6. PKI 应 用 接口 

PK 研究 的 初衷 就 是 令 用 户 能 方便 地 使 用 加 密 、 数字 签名 等 安全 服务 , 因此 一 个 完善 
的 PKI 必须 提供 良好 的 应 用 接口 系统 ， 使 得 各 种 应 用 能 够 以 安全 、 一 致 、 可 信 的 方式 与 
PKI 交互 ， 确 保安 全 网 络 环境 的 完整 性 和 易 用 性 。PKI 应 用 接口 系统 应 该 是 跨 平台 的 。 


9.1.3 PKI 的 应 用 


PKI 的 应 用 非常 广泛 ， 如 安全 浏览 器 、 安 全 电子 邮件 、 电 子 数据 交换 、Internet 上 的 
信用 卡 交易 及 VPN 等 。PKI 作为 安全 基础 设施 ， 它 能 够 提供 的 主要 服务 如 下 。 


1. 认证 服务 
认证 服务 即 身份 识别 与 认证 ， 就 是 确认 实体 即 为 自己 所 声明 的 实体 ， 鉴 别 身份 的 
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真 伪 。 

以 甲乙 双方 的 认证 为 例 : 甲 首 先 要 验证 乙 的 证 书 的 真 伪 ， 乙 在 网 上 将 证 书 传送 给 甲 ， 
甲 用 CA 的 公 钥 解 开 证 书 上 CA 的 数字 签名 ， 若 签名 通过 验证 ， 则 证 明 乙 持 有 的 证 书 是 
真 的 ， 接 着 甲 还 要 验证 乙 身份 的 真 伪 ， 乙 可 将 自己 的 口令 用 其 私 钥 进 行 数 字 签 名 传送 给 
甲 ， 甲 已 从 乙 的 证 书库 中 查 得 了 乙 的 公 铀 ， 甲 即 可 用 乙 的 公 钥 来 验证 乙 的 数字 签名 。 若 
该 签名 通过 验证 ， 乙 在 网 上 的 身份 就 确凿 无 疑 了 。 


2. 数据 完整 性 服务 

数据 完整 性 服务 就 是 确认 数据 没有 被 修改 过 。 实 现 数据 完整 性 服务 的 主要 方法 是 数 
字 签名 ， 它 既 可 以 提供 实体 验证 ， 又 可 以 保障 被 签名 数据 的 完整 性 ， 这 由 杂凑 算法 和 签 
名 算法 提供 保证 。 杂 凑 算 法 的 特点 是 输入 数据 的 任何 变化 都 会 引起 输出 数据 不 可 预测 的 
极 大 变化 , 而 签名 是 用 自己 的 私 钥 将 该 杂凑 值 进行 加 密 , 然后 与 数据 一 同 传送 给 接收 方 。 
如 果 敏 感 数据 在 传输 和 处 理 过 程 中 被 自 改 ， 接 收 方 就 不 会 收 到 完整 的 数字 签名 ， 验 证 就 
会 失败 。 反 之 ， 若 签名 通过 了 验证 ， 就 证 明 接收 方 收 到 的 是 未 经 修改 的 完整 数据 。 


3. 数据 保密 性 服务 

PKI 的 保密 性 服务 采用 了 “数字 信封 ”机 制 ， 即 发 送 方 先 产生 一 个 对 称 密 钥 ， 并 用 
该 对 称 密 钥 加 密 数 据 。 同 时 ， 发 送 方 还 用 接收 方 的 公 钥 加 密 对 称 密 钥 ， 就 像 把 它 装 入 一 
个 “数字 信封 ” 然后 把 被 加 密 的 对 称 密 钥 (“数字 信封 ”) 和 被 加 密 的 敏感 数据 一 起 传送 
给 接收 方 。 接 收 方 用 自己 的 私 钥 拆 开 “ 数 字 信封 ” 并 得 到 对 称 密 钥 ， 再 用 对 称 密 钥 解 开 
被 加 密 的 敏感 数据 。 


4. 不 可 否认 服务 

不 可 否认 服务 是 指 从 技术 上 保证 实体 对 其 行为 的 认可 。 在 这 中 间 ， 人 们 更 关注 的 是 
数据 来 源 的 不 可 否认 性 、 接 收 的 不 可 否认 性 及 接收 后 的 不 可 否认 性 ， 此 外 还 有 传输 的 不 
可 否认 性 、 创 建 的 不 可 否认 性 和 同意 的 不 可 否认 性 。 

5. 公证 服务 

PKI 中 的 公证 服务 与 一 般 社会 提供 的 公证 人 服务 有 所 不 同 ，PKI 中 支持 的 公证 服务 
是 指 “ 数 据 认 证 ” 也 就 是 说 ， 公 证 人 要 证 明 的 是 数据 的 有 效 性 和 正确 性 ， 这 种 公证 取决 
于 数据 验证 的 方式 。 例 如 ， 在 PKI 中 被 验证 的 数据 是 基于 杂凑 值 的 数字 签名 、 公 钥 在 数 
学 上 的 正确 性 和 签名 私 钥 的 合法 性 。 

PKI 提供 的 上 述 安全 服务 能 很 好 地 满足 电子 商务 、 电 子 政务 、 网 上 银行 、 网 上 证 券 
等 行业 的 安全 需求 ， 是 确保 这 些 活动 能 够 顺利 进行 的 安全 措施 。 


92 ”数字 证 书 


PKI 与 非 对 称 加 密 密 切 相关 ， 涉 及 消息 摘要 、 数 字 签 名 与 加 密 等 服务 。 数 字 证 书 技 
术 则 是 支持 以 上 服务 的 PKI 关键 技术 之 一 。 
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数字 证 书 可 理解 为 相当 于 护照 、 驾 驶 执照 之 类 用 以 证 明 实 体 身份 的 证 件 。 例 如 ， 护 
照 可 以 证 明 实 体 的 姓名 、 国 籍 、 出 生日 期 和 地 点 、 照 片 与 签名 等 方面 信息 。 类 似 地 ， 数 
字 证 书 也 可 以 证 明 网 络 实体 在 特定 安全 应 用 的 相关 信息 。 

数字 证 书 就 是 一 个 用 户 的 身份 与 其 所 持 有 的 公 钥 的 结合 ， 在 结合 之 前 由 一 个 可 信任 
的 权威 机 构 CA 来 证 实用 户 的 身份 ， 然 后 由 该 机 构 对 该 用 户 身份 及 对 应 公 钥 相 结合 的 证 
书 进行 数字 签名 ， 以 证 明 其 证 书 的 有 效 性 。 


9.2.1 数字 证 书 的 概念 


数字 证 书 实际 上 是 一 个 计算 机 文件 ， 该 数字 证 书 将 建立 用 户 身份 与 其 所 持 公 钥 的 关 
联 。 其 主要 包含 的 信息 有 主体 名 (Subject Name), 数字 aD 
证 书 中 任何 用 户 名 均 称 为 主体 名 (即使 数字 证 书 可 能 颁 Digital Certificate = 
发 给 个 人 或 组 织 ); FS (Serial Number); ARGH; 签 | subject Name : Atul Kahate 
发 者 名 (Issuer Name)。 数 字 证 书 的 示例 如 图 9-3 所 示 。 EUR E els k 
由 表 9-1 可 见 ,常规 护照 与 数字 证 书 项 目 非常 相似 。 | Other Sia een 
同一 签发 者 签发 的 护照 不 会 有 重 号 ， 同 样 ， 同 一 签发 者 | Valid From :1 Jan 2001 
签发 的 数字 证 书 的 序号 也 不 会 重复 。 签发 数字 证 书 的 机 。 | aame Vena 
构 通常 为 一 些 著 名 组 织 ， 世 界 上 最 著名 的 证 书 机 构 为 图 9.3 数字 证 书 的 示例 
VeriSign 与 Entrust。 在 国内 , 许多 政府 机 构 和 企业 也 建 
立 了 自己 的 CA 中 心 。 例 如 ， 我国 的 12 家 银行 联合 组 建 了 CFCA。 证 书 机 构 有 权 向 个 人 


和 组 织 签发 数字 证 书 ， 使 其 可 在 非 对 称 加 密 应 用 中 使 用 这 些 证 书 。 
表 9-1 常规 护照 与 数字 证 书 项 目 比 对 

数字 证 书 项 目 
主体 名 (Subject Name) 
序号 (Serial Number) 
起 始 日 期 (Valid From) 
终止 日 期 (Valid To) 
签发 者 名 (Issuer Name) 
公 钥 (Public Key) 


常规 护照 项 目 
姓名 (Full Name) 
护照 号 (Passport Number) 
起 始 日 期 (Valid From) 
终止 日 期 (Valid To) 
签发 者 (Issued By) 
照片 与 签名 (Photograph And Signature) 


92.2 ”数字 证 书 的 结构 


数字 证 书 的 结构 在 Satyam 标准 中 定义 。 国 际 电 信 联 盟 (ITU) 于 1988 年 推出 这 个 
标准 ， 当 时 放 在 X.500 标准 中 。 后 来 ，X.509 标准 于 1993 年 和 1995 年 做 了 两 次 修订 。 
这 个 标准 的 最 新 版 本 是 X.509 v3. 1999 4E, Internet 工程 任务 小 组 (IETF) 发 表 了 X.509 
标准 的 草案 RFC 2459。 

图 9-4 是 X.509 v3 数字 证 书 的 结构 ， 显 示 出 X.509 标准 指定 的 数字 证 书 字 段 ， 还 指 
定 了 字段 对 应 的 标准 版 本 。 可 以 看 出 ，X.509 标准 第 1 版 共有 7 个 基本 字段 ， 第 2 版 增 
加 了 两 个 字段 ， 第 3 版 增加 了 1 个 字段 。 增 加 的 字段 分 别 被 称 为 第 2 版 和 第 3 版 的 扩展 
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或 扩展 属性 。 这 些 版 本 的 末尾 还 有 1 个 共同 字段 。 表 9-2 (a)、 表 9-2 (b)、 表 9-2 (c) 
列 出 了 这 3 个 版 本 中 的 字段 描述 。 


Version N "N 
Certificate Serial Number 
Signature Algorithm Idcntificr = 
Issuer Name & a 
Validity(Not Before/Not After) e £ of 
Subject Name $ 2 
Subject Public Key Information > 
Issuer Unique Identifier 
Subject Unique Identifier 
Extensions _ 
Certification Authority’s Digital 
Signature 
图 9-4 X.509 v3 数字 证 书 的 结构 
表 9-2 X.509 数字 证 书 字段 描述 
(a) 第 1 版 
字 B ci B 
版 本 (Version) 标识 本 数字 证 书 使 用 的 X.509 协议 版 本 ， 目 前 可 取 1/2/3 
证 书 序号 
(Certificate Serial Number) aa ee 
签名 算法 标识 各 
(Signature Algorithm Identifier) si ai asic 
签名 者 〈Issuer Name) 标识 生成 、 签 名 数字 证 书 的 CA 的 可 区 分 名 (DN) 
有 效 期 (之 前 /之 后 ) 包含 两 个 日 期 时 间 值 之前/ 之后， 指定 数字 证 书 有 效 的 时 


(Validity (Not Before/Not After) ) | 间 范 围 。 通 常 指 定 日 期 、 时 间 ， 精 确 到 秒 或 毫秒 


主体 名 (Subject Name) 标识 数字 证 书 所 指 实 体 〈 即 用 户 或 组 织 ) 的 可 区 分 名 (DN) 
? 除非 v3 扩展 中 定义 了 替换 名 ， 否 则 该 字段 必须 有 值 

主体 公 钥 信息 

(Subject Public Key Information) 


包含 主体 的 公 钥 与 密 钥 相关 的 算法 ， 该 字段 不 能 为 空 


(b) 第 2 版 
7 R 
签发 者 唯一 标识 符 
(Issuer Unique Identifier) 
主体 唯一 标识 符 
(Subject Unique Identifier) 


描述 


在 两 个 或 多 个 CA 使 用 相同 签发 者 名 时 标识 CA 


在 两 个 或 多 个 主体 使 用 相同 签发 者 名 时 标识 CA 
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续 表 
(c) 第 3 版 
7 R fi R 
机 构 密 钥 标识 符 单个 证 书 机 构 可 能 有 多 个 公 钥 / 私 钥 对 ， 本 字段 定义 该 证 书 的 签 
(Authority Key Identifier) 名 使 用 哪个 密 钥 对 《〈 用 相应 密 钥 验证 ) 
主体 密 钥 标识 符 主体 可 能 有 多 个 公 钥 / 私 钥 对 ， 本 字段 定义 该 证 书 的 签名 使 用 哪 


(Subject Key Identifier) 


个 密 钥 对 〈 用 相应 密 钥 验 证 ) 


密 钥 用 法 (Key Usage) 


定义 该 证 书 的 公 钥 操作 范围 。 例 如 ， 可 以 指定 该 公 钥 可 用 于 所 有 
密码 学 操作 或 只 能 用 于 加 密 ， 或 者 只 能 用 于 Diffie-Hellman 密 钥 
交换 ， 或 者 只 能 用 于 数字 签名 ， 等 等 


扩展 密 钥 用 法 
(Extended Key Usage) 


私 钥 使 用 期 
(Private Key Usage Period) 


证 书 策略 (Certificate Policies) 
证 书 映射 (Policy Mappings) 


主体 替换 名 
(Subject Alternative Name) 


SRA BRA 


(Issuer Alternative Name) 


主体 目录 属性 
(Subject Directory Attributes ) 


基本 限制 (Basic Constraints) 


名 称 限 制 (Name Constraints) 
策略 限制 (Policy Constraints) 


可 补充 或 替代 密 钥 用 法 字段 ， 指 定 该 证 书 可 采用 哪些 协议 ， 这 些 
协议 包括 TLS 〈 传 输 层 安全 协议 ) 、 客 户 端 认 证 、 服 务 器 认证 、 
HRS 

可 对 该 证 书 对 应 的 公 钥 / 私 钥 对 定义 不 同 的 使 用 期 限 。 若 本 字段 
为 空 ， 则 该 证 书 对 应 的 公 钥 / 私 钥 对 定义 相同 的 使 用 期 限 

定义 证 书 机 构 对 某 证 书 指定 的 策略 和 可 选 限定 信息 

在 某 证 书 的 主体 也 是 证 书 机 构 时 使 用 ， 即 ， 一 个 证 书 机 构 向 另 一 
证 书 机 构 签发 证 书 ， 指 定 认证 的 证 书 机 构 要 遵循 哪些 策略 

对 证 书 的 主体 定义 一 个 或 多 个 替换 名 , 但 如 果 主 证 书 格式 中 的 主 
体 名 字段 为 空 ， 则 该 字段 不 能 为 空 


可 选择 定义 证 书签 发 者 的 一 个 或 多 个 替换 名 


可 提供 主体 的 其 他 信息 ， 如 主体 电话 /传真 、 电 子 邮 件 地 址 等 


表示 该 证 书 主体 可 和 否 作为 证 书 机 构 。 本 字段 还 指定 主体 可 和 否 让 其 
他 主体 作为 证 书 机 构 。 例 如 ， 若 证 书 机 构 X 向 证 书 机 构 Y 签发 
HERB, W X 不 仅 能 指定 Y 可 否 作为 证 书 机 构 向 其 他 主体 签发 
证 书 ， 还 可 指定 Y 可 否 指定 别 的 主体 作为 证 书 机 构 
指定 名 字 空 间 


只 用 于 CA 证书 


923 ”数字 证 书 的 生成 


本 节 介 绍 数字 证 书生 成 的 典型 过 程 。 数 字 证 书生 成 与 管理 主要 涉及 的 参与 方 有 最 终 
用 户 、 注 册 机 构 、 证 书 机 构 。 和 数字 证 书信 息 紧密 相关 的 机 构 有 最 终 用 户 〈 主 体 ) 和 证 
书 机 构 〈 签 发 者 )。 证 书 机 构 的 任务 繁多 ， 如 签发 新 证 书 、 维 护 旧 证 书 、 撤 销 因 故 无 效 证 
书 等 ， 因 此 一 部 分 证 书生 成 与 管理 任务 由 第 三 方 一 注册 机 构 CRA) 完成 。 从 最 终 用 户 
角度 看 ， 证 书 机 构 与 注册 机 构 差别 不 大 。 技 术 上 ， 注 册 机 构 是 用 户 与 证 书 机 构 之 间 的 中 


间 实 体 ， 如 图 9-5 所 示 。 


注册 机 构 提供 的 服务 有 : 外 接收 与 验证 最 终 用 户 的 注册 信息 ; 


@@ 为 最 终 用 户 生成 密 


H: @@ 接 收 与 授权 密 钥 备份 与 恢复 请 求 ; 四 接收 与 授权 证 书 撤销 请 求 。 
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注册 机 构 证 书 机 构 
(RA) (CA) 
图 9-5 最 终 用 户 与 RA 和 CA 的 关系 


JER: 注册 机 构 主要 帮助 证 书 机 构 与 最 终 用 户 间 交互 , 注册 机 构 不 能 签发 数字 证 书 ， 
证 书 只 能 由 证 书 机 构 签发 。 

数字 证 书 的 生成 步骤 如 图 9-6 所 示 ， 下 面 对 各 步 进行 详细 介绍 。 

His: 密 钥 生成 。 生 成 密 钥 可 采用 的 方式 有 如 下 两 种 。 

(1) 主体 〈 用 户 /组 织 ) 可 采用 特定 软件 生成 公 钥 / 私 钥 对 ， 该 软件 通常 是 Web 浏览 
器 或 Web 服务 器 的 一 部 分 ， 也 可 以 使 用 特殊 软件 程序 。 主 体 必 须 秘密 保存 私 钥 ， 并 将 公 
钥 、 身 份 证 明 与 其 他 信息 发 送 给 注册 机 构 ， 如 图 9-7 所 示 。 


密 钥 生成 
I <À pe 
注册 IE =l 
aa ve "a 
=a A ces 2, 
图 9-6 ”数字 证 书 的 生成 步 又 图 9-7 主体 生成 密 钥 对 


〈2) 当 用 户 不 知道 密 钥 对 生成 技术 或 要 求 注册 机 构 集中 生成 和 发 布 所 有 密 钥 ， 以 便 
于 执行 安全 策略 和 密 钥 管理 时 ， 也 可 由 注册 机 构 为 主体 〈 用 户 ) 生成 密 钥 对 。 该 方法 的 
缺陷 是 注册 机 构 知 道 用 户 私 钥 ， 且 在 向 主体 发 送 途 中 也 可 能 泄漏 。 注 册 机 构 为 主体 生成 
密 钥 对 示意 图 如 图 9-8 所 示 。 


BAT) cen 
P _——> =i 
注册 机 构 ) 
(RA) 
A 


用 户 X 的 私 钥 Ip wag 
图 9-8 注册 机 构 主体 生成 密 钥 对 示意 图 


第 2 步 : 注册 。 该 步骤 发 生 在 第 1 步 由 主体 生成 密 钥 对 情形 下 ， 若 在 第 1 步 由 RA 
为 主体 生成 密 钥 对 ， 则 该 步骤 在 第 1 步 中 完成 。 

假设 用 户 生 成 密 钥 对 ， 则 要 向 注册 机 构 发 送 公 钥 和 相关 注册 信息 (如 主体 名 ,将 置 
于 数字 证 书 中 ) 及 相关 证 明 材 料 。 用 户 在 特定 软件 的 引导 下 正确 地 完成 相应 输入 后 通过 
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Intemet 提交 至 注册 机 构 。 证 书 请 求 格式 已 经 标准 化 ， 称 为 证 书签 名 请 求 〈Certificate 
Signing Request, CSR), PKCS#10 证 书 申请 结构 如 图 9-9 所 示 。 有 关 CSR 的 详细 信息 可 
参看 公 钥 加 密 标准 PKCS#10。 

注意 : 证 明 材料 未 必 一 定 是 计算 机 数据 ， 有 时 也 可 以 是 纸 质 文档 (如 护照 、 营 业 执 
照 、 收 入 /税收 报表 复印 件 等 )， 如 图 9-10 所 示 。 


证 书 申请 信息 A 
ake a 
ee 主体 =》 


| a 
= A | PRA” 
签名 私 钥 

图 9-9 PKCS#10 证 书 申请 结构 图 9-10 主体 将 公 钥 与 证 明 材料 发 送 到 注册 机 构 


第 3 步 : 验证 。 接 收 到 公 钥 及 相关 证 明 材 料 后 ， 注 册 机 构 须 验证 用 户 材 料 ， 验 证 分 
为 以 下 两 个 层面 。 

(1) RA 要 验证 用 户 材 料 ， 以 明确 是 否 接 受用 户 注 册 。 若 用 户 是 组 织 ， 则 RA 需要 检 
查 营业 记录 、 历 史 文件 和 信用 证 明 ; 若 用 户 为 个 人 ， 则 只 需 简单 证 明 ， 如 验证 邮政 地 址 、 
电子 邮件 地 址 、 电 话 号 码 或 护照 、 驾 照 等 。 

(2) 确保 请 求证 书 的 用 户 拥 有 与 向 RA 的 证 书 请 求 中 发 送 的 公 钥 相对 应 的 私 钥 。 这 
个 检查 被 称 为 检查 私 钥 的 拥有 证 明 (Proof Of Possession，POP)。 主 要 的 验证 方法 有 如 下 
几 种 。 

O RA 可 要 求 用 户 采 用 私 钥 对 证 书签 名 请 求 进 行 数字 签名 。 若 RA 能 用 该 用 户 公 钥 
验证 签名 正确 性 ， 则 可 相信 该 用 户 拥有 与 其 证 书 申请 中 公 钥 一 致 的 私 钥 。 

@ RA 可 生成 随机 数 挑战 信息 ， 用 该 用 户 公 钥 加 密 ， 并 将 加 密 后 的 挑战 值 发 送 给 用 
户 。 若 用 户 能 用 其 私 钥 解密 ， 则 可 相信 该 用 户 拥 有 与 公 钥 相 匹 配 的 私 钥 。 

@ RA 可 将 CA 所 生成 的 数字 证 书 采 用 用 户 公 钥 加 密 后 ， 发 送 给 该 用 户 。 用 户 需要 
用 与 公 钥 匹 配 的 私 钥 解 密 方 可 取得 明文 证 书 一 一 也 实现 了 私 钥 拥有 证 明 的 验证 。 

第 4 步 : 证 书生 成 。 设 上 述 所 有 步骤 成 功 ， 则 RA 将 用 户 的 所 有 细节 传递 给 证 书 机 
构 。 证 书 机 构 进行 必要 的 验证 ， 并 生成 数字 证 书 。 证 书 机 构 将 证 书 发 给 用 户 ， 并 在 CA 
维护 的 证 书目 录 〈(Certificate Directory) 中 保留 一 份 证 书记 录 。 然 后 证 书 机 构 将 证 书 发 送 
给 用 户 ， 可 附 在 电子 邮件 中 ; 也 可 向 用 户 发 送 一 个 电子 邮件 ， 通 知 其 证 书 已 生成 ， 让 用 
PM CA 站 点 下 载 。 数 字 证 书 的 格式 实际 上 是 不 可 读 的 ， 但 应 用 程序 可 对 数字 证 书 进 
行 分 析 解 释 ， 例 如 ， 打 开 Internet Explorer 浏览 器 浏览 证 书 时 ， 可 以 看 到 可 读 格式 的 证 
书 细节 。 


924 ”数字 证 书 的 签名 与 验证 


正如 护照 需要 权威 机 构 的 印章 与 签名 一 样 ， 数 字 证 书 也 需要 证 书 机 构 CA 采用 其 
私 钥 签 名 后 方 是 有 效 、 可 信 的 。 接 下 来 ， 分 别 就 CA 签名 证 书 及 数字 证 书 验证 加 以 
介绍 。 
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1. CA 签名 证 书 

此 前 介绍 过 X.509 证 书 结构 ， 其 中 最 后 一 个 字段 是 证 书 机 构 的 数字 签名 ， 即 每 个 数 

字 证 书 不 仅 包 含 用 户 信息 〈 如 主体 名 、 公 钥 等 )， 同 时 还 包含 证 书 机 构 的 数字 签名 。CA 
对 数字 证 书签 名 过 程 如 图 9-11 所 示 。 
Version 

Certificate Serial Number 


Signature Algorithm Identifier 


Issuer Name 
Validity(Not Before/Not After) 
Subject Name = | 消息 摘要 算法 


Subject Public Key Information 


Issuer Uniqutte ldentifier 


Subject Unique Identifier 


消息 摘要 


Extensions 


Certification Authority’s Digital Signature 


有 SC 
( = ame 
证 书 机 构 的 私 铀 


数字 签名 


9-11 CA 对 数字 证 书签 名 过 程 


由 图 9-11 可 知 ， 在 向 用 户 签发 数字 证 书 前 ，CA 首先 要 对 证 书 的 所 有 字段 计算 一 个 
消息 摘要 (使 用 MD-5 或 SHA-1 等 杂凑 算法 )， 而 后 用 CA 私 钥 加 密 消 息 摘要 如 采用 
RSA 算法 )， 构 成 CA 的 数字 签名 。CA 将 计算 出 的 数字 签名 作为 数字 证 书 的 最 后 一 个 字 
段 插入 ， 类 似 于 护照 上 的 印章 与 签名 。 该 过 程 由 密码 运算 程序 自动 完成 。 

2. 数字 证 书 验证 

数字 证 书 的 验证 步骤 如 图 9-12 所 示 。 主 要 包括 如 下 几 步 。 

a) 用 户 将 数字 证 书 中 除 最 后 一 个 字段 以 外 的 所 有 字段 输入 消息 摘要 算法 〈 杂 凌 算 
法 )。 该 算法 与 CA 签发 证 书 时 使 用 的 杂凑 算法 相同 ，CA 会 在 证 书 中 指定 签名 算法 及 杂 
凑 算 法 ， 令 用 户 知道 相应 的 算法 信息 。 

(2) 由 消息 摘要 算法 计算 数字 证 书 中 除 最 后 一 个 字段 外 其 他 字段 的 消息 摘要 ， 设 该 
消息 摘要 为 MD-1。 

G) 用 户 从 证 书 中 取出 CA 的 数字 签名 证 书 中 最 后 一 个 字段 )。 

(4) 用 户 用 CA 的 公 钥 对 CA 的 数字 签名 信息 进行 解密 运算 。 

(5) 解密 运算 后 获得 CA 签名 所 使 用 的 消息 摘要 ， 设 为 MD-2。 

(6) 用 户 比 较 MD-1 与 MD-2。 若 两 者 相符 ， 即 MD-1=MD-2， 则 可 肯定 数字 证 书 已 
由 CA 用 其 私 钥 签 名 ， 否 则 用 户 不 信任 该 证 书 ， 将 其 拒绝 。 
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Version 
Certificate Serial Number 
Signature Algorithm Identifier 
Issuer Name 
Validity(Not Before/Not After) 


Subject Name C 一 一 > 消息 摘要 算法 | 第 1 步 
Subject Publec Key Information | | 


Issuer Unique Identifier 
Subject Unique Identifier 7 
ae 消息 摘要 |a 
Extensions (MD-1) 
Certification Authority’ s Digtal Signature 


mpa 第 3 步 第 6 步 


第 4 步 
签 

iene K Gonan 
il] 证 书 有 效 ,接收 BIER ALA 


第 5 步 
消息 摘要 
(MD) 


图 9-12 ”验证 CA 的 数字 签名 


9.2.5 “数字 证 书 层次 与 自 签名 数字 证 书 

设 有 两 个 用 户 Alice 与 Bob, 二 者 希望 进行 安全 通信 , 在 Alice 收 到 Bob 的 数字 证 书 
时 ， 需 对 该 证 书 进行 验证 。 由 前 可 知 ， 验 证 证 书 时 需 使 用 颁发 该 证 书 的 CA 的 公 钥 ， 这 
就 涉及 如 何 获 取 CA 公 钥 的 问题 。 

若 Alice 与 Bob 具有 相同 的 证 书 机 构 (CA)， 则 Alice 显然 已 知 签发 Bob 证 书 的 CA 
的 公 钥 。 若 Alice 与 Bob 归属 于 不 同 的 证 书 机 构 ， 则 Alice 需 通过 如 图 9-13 所 示 的 信任 
链 (CA 层次 结构 ) 获取 签发 证 书 的 CA AH. 


根 CA 


二 级 CA 二 级 CA 二 级 CA 


三 级 CA 三 级 CA sas 三 级 CA 三 级 CA 


图 9-13 CA 层次 结构 


由 图 9-13 可 看 出 ，CA 层次 从 根 CA 开始 ， 根 CA 下 面 有 一 个 或 多 个 二 级 CA， 每 个 二 
级 CA 下 面 有 一 个 或 多 个 三 级 CA， 等 等 ， 类 似 于 组 织 中 的 报告 层次 体系 ，CEO 或 总 经 理 具 
有 最 高 权威 ， 高 级 经 理 向 CEO 或 总 经 理 报 告 ， 经 理 向 高 级 经 理 报告 ， 员 工 向 经 理 报告 …… 
CA 层次 使 根 CA 不 必 管理 所 有 的 数字 证 书 , 可 以 将 该 任务 委托 给 二 级 机 构 , 每 个 二 
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级 CA 又 可 在 其 区 域内 指定 三 级 CA， 每 个 三 级 CA 又 可 指定 四 级 CA， 依 次 进行 。 

如 图 9-14 所 示 , 若 Alice 从 三 级 CA(B1) 取得 证 书 , 而 Bob 从 另 一 个 三 级 CA (B11) 
取得 证 书 。 显 然 ，Alice 不 能 直接 获取 B11 的 公 钥 ， 因 此 ， 除 了 自身 证 书 外 ，Bob 还 需 向 
Alice 发 送 其 CA (B11) 的 证 书 ， 告 知 Alice B11 的 公 钥 。Alice 根据 B11 的 公 钥 对 Bob 
证 书 进行 计算 验证 。 


根 CA 
| 
二 级 CA 二 级 CA 二 级 CA 
(AD (A2) (A3) 
三 级 CA 三 级 CA 三 级 CA 三 级 CA 
(B1) (B2) ii (B10) (B11) 


Alice ore tt Bob 


9-14 同一 根 CA 中 不 同 CA 所 辖 用 户 


显然 ， 在 使 用 B11 公 钥 对 Bob 证 书 进行 验证 前 ，Alice 需 对 B11 证 书 的 正确 性 进行 
验证 (确认 对 B11 证 书 的 信任 )。 由 图 9-14 可 见 ，B11 的 证 书 是 由 A3 签发 的 ， 则 Alice 
需 获得 A3 的 公 钥 以 验证 A3 对 B11 证 书 的 签名 。 同 理 ， 为 确保 A3 公 钥 的 真实 性 与 正确 
性 ，Alice 需 获 取 A3 的 证 书 ， 并 需 获 得 根 CA 公 钥 对 A3 证 书 进 行 验证 。 证 书 层 次 与 根 
CA 的 验证 问题 如 图 9-15 所 示 。 


Digital Certificate 


Issuer Name: 


Subject Name:Root 


Digital Certificate 


Issuer Name: Root = 
Subject Name: A3 


Digital Certificate 


Issuer Name: A3 ”二 
Subject Name: B11 


Digital Certificate 


Issuer Name: B11 
Subject Name: Bob 


9-15 证书 层次 与 根 CA 的 验证 问题 
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由 图 9-15 可 见 , 根 CA 是 验证 链 的 最 后 一 环 , 根 CA 自动 作为 可 信任 CA, 根 CA 证 
书 为 自 签 名 证 书 (Self-signed Certificate)， 即 根 CA 对 自 


己 的 证 书签 名 ， 如 图 9-16 所 示 ， 证 书 的 签发 者 名 和 主体 Digital Certificate 

名 均 指向 根 CA。 存 储 与 验证 证 书 的 软件 中 包含 预 编程 、 ee 

硬 编码 的 根 CA 证 书 。 Subject Name: Root 
由 于 根 CA 证 书 存放 于 Web 浏览 器 和 Web 服务 器 之 ~ 


类 的 基础 软件 中 , 因此 Alice 无 须 担 心 根 CA 证 书 的 认证 图 9-16 自 签名 证 书 

问题 ， 除 非 其 使 用 的 基础 软件 本 身 来 自 于 非 信 任 站 点 。 

Alice 只 需 采用 遵循 行业 标准 、 被 广泛 接受 的 应 用 程序 ， 即 可 保证 根 CA 证 书 的 有 效 性 。 
图 9-17 显示 了 验证 证 书 链 的 过 程 。 


Alice Bob 
© i 
Bob 的 数字 
第 2 步 : 需要 B11 的 证 书 来 =| ER 
SERS H 第 ! 步 : 证 明 公 钥 一 数字 证 书 


B11 的 数字 
第 4 步 ;需要 A3 的 证 书 来 “一 吉 | 证 韦 


验证 B11 的 证 书 
第 3 步 : B11 的 证 书 
A3 的 数字 
证 书 


第 6 步 : A3 的 CA 是 根 CLA， 呈 过 
Alice 已 信任 根 CA， 这 就 是 = 
ET 第 5 步 : A3 的 证 书 


9-17 ”验证 证 书 链 的 过 程 


9.26 ”交叉 证 书 


每 个 国家 均 拥有 不 同 的 根 CA， 即 使 同一 国家 也 可 能 拥有 多 个 根 CA。 例 如 ， 美 国 的 
根 CA 有 Verisign、Thawte 和 美国 邮政 局 。 这 时 ， 不 是 各 方 都 能 信任 同一 个 根 CA。 
在 9.2.5 节 的 示例 中 ， 若 Alice 与 Bob 身 处 不 同 国家 ， 即 根 CA 不 同时 ， 也 存在 着 根 CA 
的 信任 问题 。 

针对 以 上 情形 ， 采 用 交叉 证 书 〈Cross-certification)。 由 于 实际 中 不 可 能 有 一 个 认证 
每 个 用 户 的 统一 CA， 因此 要 用 分 布 式 CA 认证 各 个 国家 、 政 治 组 织 与 公司 机 构 的 证 书 。 
这 种 方式 减少 了 单个 CA 的 服务 对 象 ， 同 时 确保 CA 可 独立 运作 。 此 外 ， 交 叉 证 书 使 不 
同 PKI 域 的 CA 和 最 终 用 户 可 以 互动 。 交 叉 证 书 是 对 等 CA 签发 ， 建 立 的 是 非 层次 信任 
路 径 。 

如 图 9-18 HZR, Alice 与 Bob 的 根 CA 不 同 ， 但 他 们 可 进行 交叉 认证 ， 即 Alice 的 根 
CA 从 Bob 的 根 CA 那里 取得 了 自身 的 证 书 , 同样 Bob 的 根 CA 从 Alice 的 根 CA 处 取得 
了 自己 的 证 书 。 RE Alice 的 基础 软件 只 信任 其 自己 的 根 CA, 但 因为 Bob 的 根 CA 得 到 
了 Alice 的 根 CA 的 认证 ， 则 Alice 也 可 信任 Bob 的 根 CA。Alice 可 采用 下 列 路 径 验 证 
Bob 的 证 书 : Bob-Q2-P1-Bob’s RCA-Alice’s RCA. 
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(aoe ----=2""_____ N] 


二 级 CA 二 级 CA 
(Al) (P1) 
| 
] 
三 级 CA 三 级 CA ws 三 级 CA 三 级 CA 
(B1) (B2) (Q1) (Q2) 
Alice Bob 


图 9-18 CA 的 交叉 证 书 


利用 证 书 层次 、 自 签名 证 书 和 交叉 证 书 技术 ， 令 所 有 用 户 均 可 验证 其 他 用 户 的 数字 
证 书 ， 以 确定 信任 证 书 或 拒绝 证 书 。 

9.2.7 ”数字 证 书 的 撤销 

数字 证 书 撤销 的 常见 原因 有 : @ 数 字 证 书 持 有 者 报告 该 证 书 中 指定 公 钥 对 应 的 私 钥 
被 破解 〈 被 盗 ); OCA 发 现 签发 数字 证 书 时 出 错 ; 图 证 书 持 有 者 离职 ， 而 证 书 为 其 在 职 
期 间 签发 的 。 发 生 第 一 种 情形 需 由 证 书 持 有 者 进行 证 书 撤销 申请 ; 发 生 第 三 种 情形 时 需 
由 组 织 提出 证 书 撤销 申请 ; 发 生 第 二 种 情形 时 ，CA 启动 证 书 撤销 。CA 在 接 到 证 书 撤销 
请 求 后， 首先 认证 证 书 撤销 请 求 ， 然 后 接受 请 求 ， 启 动 证 书 撤销 ， 以 防止 攻击 者 滥用 证 
书 撤销 过 程 撤销 他 人 证 书 。 

Alice 使 用 Bob 的 证 书 与 Bob 安全 通信 前 ， 需 明确 以 下 两 点 : 

(1) 该 证 书 是 否 属 于 Bob。 

(2) 该 证 书 是 否 有 效 ， 是 否 被 撤销 。 

Alice 可 通过 证 书 链 明 确 第 一 个 问题 , 而 明确 第 二 个 问题 则 需 采 用 证 书 撤销 状态 检查 
机 制 。CA 提供 的 证 书 撤销 状态 检查 机 制 如 图 9-19 所 示 。 


数字 证 书 撤销 检查 
] 
脱 机 撤销 状态 检查 联机 撤销 状态 检查 
证 书 撤销 列表 联机 证 书 验证 协议 | | 简单 证 书 验证 协议 
(CRL) (OCPS) (SCVP) 


9-19 ”证书 撤销 状态 检查 机 制 
下 面 对 这 几 种 撤销 检查 机 制 逐一 加 以 介绍 。 


1. 脱 机 证 书 撤销 状态 检查 

证 书 撤销 列表 (Certificate Revocation List, CRL) 是 脱 机 证 书 撤销 状态 检查 的 主要 
方法 。 最 简单 的 CRL 是 由 CA 定期 发 布 的 证 书 列表 ， 标 识 该 CA 撤销 的 所 有 证 书 。 但 该 
表 中 不 包含 过 了 有 效 期 的 失效 证 书 。CRL 中 只 列 出 在 有 效 期 内 因 故 被 撤销 的 证 书 。 

每 个 CA 签发 自己 的 CRL，CRL 包含 相应 的 CA 签名 ， 易 于 验证 。CRL 为 一 个 依 
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时 间 增 长 的 顺序 文件 ,包括 在 有 效 期 内 因 故 被 撤销 的 所 有 证 书 ,是 CA 签发 的 所 有 CRL 
的 子 集 。 每 个 CRL 项 目 列 出 证 书 序号 、 撤 销 日 期 和 时 间 、 撤 销 原因 。CRL 顶层 还 包 
括 CRL 发 布 的 日 期 、 时 间 和 下 一 个 CRL 发 布 时 间 。 图 9-20 给 出 了 CRL 文件 的 逻辑 
视图 。 

Alice 对 Bob 数字 证 书 的 安全 性 检查 操作 如 下 。 

a) 证 书 有 效 期 检查 : 比较 当前 日 期 与 证 书 有 效 期 ， 确 保证 书 在 有 效 期 内 。 

(2) 签名 检查 : 检查 Bob 的 证 书 能 否 用 其 CA 的 签名 验证 。 


CA: XYZ 
Certificate Revocation List(CRL) 
This CRL: 1 Jan 2002, 10: 00 am 
Next CRL: 12 Jan 2002, 10: 00 am 


Serial Number Date Reason 
1234567 30-Dec-01 Private key compromised 


2819281 30-Dec-01 Changedjob 


图 9-20 CRL 文件 的 逻辑 视图 


(3) 证 书 撤 销 状态 检查 : 根据 Bob 的 CA 签发 的 最 新 CRL 检查 Bob 的 证 书 是 否 在 
证 书 撤销 列表 中 。 
完成 以 上 检查 后 ，Alice 方 能 信任 Bob 的 数字 证 书 ， 相 应 过 程 如 图 9-21 所 示 。 


CA: XYZ 
Certificate Revocation List(CRL) 
This CRL: 1 Jan 2002, 10: 00 am 


Alice Next CRL: 12 Jan 2002, 10: 00 am 


O Serial Number | Date Reason 


1234567 30-Dec-01 | Key compromised 
2819281 30-Dec-01  Changedjob 


Version 


z 7 检查 3 : 要 保证 这 个 系列 号 没有 出 现 
Certificate Serial Number — 在 Bob 的 CA 发 布 的 CRL 中 


Signature Algorithm Identifier 


Issuer Name 
Validity (Not Before/Not After) 一 一 一 检查 1 : 要 保证 证 书 没有 过 期 
Subject Name 
Subject Public Key Information 
Issuer Unique Identifier 


Subject Unique Identifer 


Extensions 
Certification Authority’s Digital Signature|=—— 检查 2 : 要 验证 整个 证 书 ,签名 机 构 链 
Bob 的 数字 证 书 
图 9-21 检验 证 书 及 CRL 在 检验 过 程 中 作用 
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随 着 时 间 的 推移 ，CRL 可 能 会 变 得 很 大 。 一 般 假 设 ， 每 年 撤销 的 未 到 期 证 书 达 10% 
左右 ， 若 CA 有 100 000 个 用 户 ， 则 两 年 时 间 可 能 在 CRL 中 有 20 000 个 项 目 ， 数 目 是 相 
当 庞 大 的 。 在 这 种 情形 下 , 通过 网 络 接收 CRL 文件 将 是 一 个 很 大 的 瓶颈 。 为 解决 该 问题 ， 
引出 了 差异 CRL (Delta CRL) 的 概念 。 

最 初 ，CA 可 以 向 使 用 CRL 服务 的 用 户 发 一 个 一 次 性 的 完全 更 新 CRL， 称 为 基础 
CRL (Base CRL)。 下 次 更 新 时 ，CA 不 必 发 送 整个 CRL， 而 只 需 发 送 上 次 更 新 以 来 改变 
的 CRL。 这 个 机 制 令 CRL 文件 的 长 度 缩小 ， 从 而 加 快 传输 速度 。 基 础 CRL 的 改变 称 为 
差异 CRL， 差 异 CRL 也 是 一 个 需要 CA 签名 的 文件 。 图 9-22 给 出 了 每 次 签发 完整 CRL 
与 只 签发 差异 CRL 的 区 别 。 


CA: XYZ CA: XYZ 
First CRL 
distribution CRL Baso CRE 
CA: XYZ CA: XYZ 
CRL Update 1 CRL Delta CRL 
i CA: XYZ CA: XYZ 
CRL Update 2 CRL Delta CRL 
方法 1 : 每 次 签发 方法 2 : 只 签发 
完整 CRL 差异 CRL 


9-2 每 次 签发 完整 CRL 与 只 签发 差异 CRL 的 区 别 


使 用 CRL 时 ， 需 注意 以 下 几 点 : OFS CRL 文件 包含 一 个 差异 CRL 指 识 符 ， 告 知 
用 户 该 CRL 为 差异 CRL, 用 户 需 将 该 差异 CRL 文件 与 基础 CRL 文件 一 起 使 用 , 得 到 完 
整 CRL; OFA CRL 均 有 序号 ， 用 户 可 检查 是 否 拥有 全 部 差异 CRL; @ 基 础 CRL 可 能 
有 一 个 差异 信息 指 识 符 ， 告 知 用 户 这 个 基础 CRL 具有 相应 的 差异 CRL， 还 可 提供 差异 
CRL 地 址 和 下 一 个 差异 CRL 的 发 布 时 间 。 图 9-23 给 出 了 CRL 的 标准 格式 。 


Version 
Signature Algorithm Identifier 
Issuer Name 头 字段 
This Update (Date and Time) 
Next Update (Date and Time) 
User CERTIFICATE Serial Number Revocation Data CRL Entry Extensions 


重复 项 


CRL Extensions 
尾 字段 


Signature 
图 9-23 CRL 的 标准 格式 


如 图 9-23 R, CRL 格式 中 有 几 个 头 字 段 、 几 个 重复 项 目 和 几 个 尾 字 段 。 显 然 ， 序 
号 、 撤 销 日 期 、CRL 项 目 扩展 之 类 的 字段 要 对 CRL 中 的 每 个 撤销 证 书 重 复 。 而 其 他 字 
段 构成 头 字段 、 尾 字段 两 部 分 。 下 面 介 绍 这 些 字段 ， 如 表 9-3 所 示 。 
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表 9-3 ”CRL 的 不 同 字段 


字 R 
版 本 (Version) 


签名 算法 标识 符 (Signature Algorithm 
Identifier) 


描 R 
表示 CRL 版 本 


CA 签名 CRL 所 用 的 算法 (如 SHA-1 与 RSA) ， 表 示 CA 先 
用 SHA-1 算法 计算 CRL 的 消息 摘要 ， 然 后 用 RSA 算法 签名 


RBZ, (Issuer Name) 


标识 CA 的 可 区 分 名 (DN) 


本 次 更 新 日 期 与 时 间 (This Update 
Date and Time) 


签发 这 个 CRL 的 日 期 与 时 间 值 


下 次 更 新 日 期 与 时 间 (Next Update 
Date and Time) 


签发 下 一 个 CRL 的 日 期 与 时 间 值 


用 户 证 书 序 号 (User Certificate Serial 
Number) 


撤销 证 书 的 证 书号 ， 该 字段 对 每 个 撤销 证 书 重复 


撤销 日 期 (Revocation Date) 

CRL 项 目 扩展 (CRL Entry Extension) 
CRL 扩展 (CRL Extension) 

签名 (Signature) 


撤销 证 书 的 日 期 和 时 间 ， 该 字段 对 每 个 吊销 证 书 重复 
见 表 9-4， 每 个 CRL 项 目 有 一 个 扩展 

见 表 9-5， 每 个 CRL 有 一 个 扩展 

包含 CA 签名 


这 里 , 需 明确 区 别 CRL 项 目 扩展 与 CRL 扩展 , CRL 项 目 扩展 对 每 个 撤销 证 书 重复 ， 


而 整个 CRL 只 有 一 个 CRL 扩展 ， 
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如 表 9-4 和 表 9-5 所 示 。 


表 9-4 CRL 项 目 扩展 
描述 


指定 证 书 撤销 原因 ， 可 能 是 Unspecified (未 指定 )，Key Compromise 


原因 代码 (Reason Code) | ( 密 钥 损坏 )，CA Compromise (CA 被 破坏 )，Superseded (MH #), 


Certificate Hold〈 证 书 暂 扣 ) 


扣 证 指示 代码 (Hold | 证 书 可 以 暂 扣 ， 即 在 指定 时 间 内 失效 〈 可 能 因为 用 户 休假 ， 需 保证 期 
Instruction Code) 间 不 被 滥用 )， 该 字段 可 指定 扣 证 原因 


证 书签 发 者 〈 Certificate 


标识 证 书签 发 者 名 和 间接 CRL。 间接 CRL 是 第 三 方 提供 的 , 而 非 证 书 
签发 者 提供 。 第 三 方 可 汇总 多 个 CA 的 CRL, 发 一 个 合并 的 间接 CRL， 


Wers) 使 CRL 信息 请 求 更 加 方便 
撤销 日 期 (Invalidity Date) | 发 生 私 钥 泄漏 或 数字 证 书 失效 的 日 期 和 时 间 
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机 构 密 钥 标识 符 (Authority Key 
Identifier) 


#9-5 CRL 扩展 
HOR 
区 别 一 个 CA 使 用 的 多 个 CRL 签名 密 钥 


签发 者 别名 (Issuer Alternative Name) 


CRL 号 (CRL Number) 


将 签发 者 与 一 个 或 多 个 别名 相 联 系 


序号 ( 随 每 个 CRL 递增 )， 帮 助 用 户 明确 是 否 拥有 此 前 所 有 
的 CRL 


差异 CRL 标识 符 (Delta CRL Indicator) 


表示 CRL 为 差异 CRL 


签发 发 布点 (Issuing Distribution 
Point) 


表示 CRL 发 布点 或 CRL 分 区 。CRL 发 布点 可 在 CRL 很 大 
时 使 用 一 一 不 用 发 布 一 个 庞大 的 CRL, 而 是 分 解 为 多 个 CRL 
发 布 。CRL 请 求 者 请 求 和 处 理 这 些小 的 CRL。CRL 发 布点 
提供 了 小 CRL 的 地 址 指针 〈 即 DNS 名 、 卫 地 址 或 文件 名 ) 
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和 最 终 用 户 一 样 ，CA 本 身 也 用 证 书 标识 。 在 某 些 情 形 下 ，CA 证 书 也 需 撤销 ， 类 似 
于 CRL 提供 最 终 用 户 证 书 的 撤销 信息 表 ， 机 构 撤销 列表 CARL) 提供 了 CA 证 书 的 撤销 
信息 表 。 


2. 联机 证 书 撤销 状态 检查 

由 于 CRL 可 能 过 期 , 同时 CRL 存在 长 度 问题 ， 基 于 CRL 的 脱 机 证 书 撤销 状态 检查 
不 是 检查 证 书 撤销 的 最 好 方式 。 因 此 ， 出 现 了 两 个 联机 检查 证 书 状 态 协议 : 联机 证 书 状 
态 协 议和 简单 证 书 检验 协议 。 

联机 证 书 状 态 协 议 (Online Certificate Status Protocol, OCSP) 可 以 检查 特定 时 刻 某 
个 数字 证 书 是 否 有 效 ， 是 联机 检查 方式 。 联 机 证 书 状 态 协议 令 证 书 检验 者 可 以 实时 检查 
证 书 状 态 ， 从 而 提供 了 更 简单 、 快 捷 、 有 效 的 数字 证 书 验 证 机 制 。 与 CRL 不 同 ， 该 方式 
无 须 下 载 证 书 列表 。 下 面 介绍 联机 证 书 状态 协议 的 工作 步骤 。 

(1) CA 提供 一 个 服务 器 ， 称 为 OCSP 响应 器 (OCSP Responder)， 该 服务 器 包含 最 
新 证 书 撤销 信息 。 请 求 者 (客户 机 ) 发 送 联机 证 书 状 态 查 询 请 求 (OCSP Request)， 检 查 
该 证 书 是 否 撤销 。OCSP 最 常用 的 基础 协议 是 HTTP, 但 也 可 以 使 用 其 他 应 用 层 协议 〈 如 
SMTP)， 如 图 9-24 所 示 。 实 际 上 ，OSCP 请 求 还 包括 OSCP 版 本 、 请 求 服务 和 一 个 或 几 
个 证 书 标识 符 〈 其 中 包含 签发 者 的 消息 摘要 、 签 发 者 公 钥 的 消息 摘要 和 证 书 序号 )。 为 简 
单 起 见 ， 暂 忽略 这 些 细节 。 

(2) OCSP 响应 器 查询 服务 器 的 X.500 目录 (CA 不 断 向 其 提供 最 新 证 书 撤销 信息 )， 
以 明确 特定 证 书 是 否 有 效 ， 如 图 9-25 所 示 。 


S98 S06 E 


证 书 有 效 否 ? — Ocsp > EBEA o 
客户 机 响应 器 客户 机 coe 


图 9-24 OCSP 请 求 9-25 OCSP 证 书 撤 销 状态 检查 


(3) 根据 X.500 目录 查找 的 状态 检查 结构 ，OCSP 响应 器 向 客户 机 发 送 数字 签名 的 
OCSP 响应 (OCSP Response)， 原 请 求 中 的 每 个 证 书 有 一 个 OCSP 响应 。OCSP 响应 可 以 
取 3 “MA. Bl Good, Revoked 或 Unknown。OCSP 响应 还 可 以 包含 撤销 日 期 、 时 间 和 原 
因 。 客 户 机 要 确定 相应 的 操作 。 一 般 而 言 ， 建 议 只 在 OCSP 响应 状态 为 Good 时 才 认 为 
证 书 有 效 ，OCSP 响应 如 9-26 所 示 。 

需要 注意 的 是 ，OCSP 缺少 对 与 当前 证 书 相关 的 证 书 链 有 效 性 的 检查 。 例 如 ， 假 设 
Alice 要 用 OCSP 验证 Bob 的 证 书 ， 则 OCSP 只 是 告诉 Alice，Bob 的 证 书 是 否 有 效 ， 而 
不 检验 签发 Bob 证 书 的 CA 的 证 书 或 证 书 链 中 更 高 层 的 证 书 。 这 些 逻 辑 (验证 证 书 链 有 
效 性 ) 要 放 在 使 用 OCSP 的 客户 机 应 用 程序 中 。 另 外 ， 客 户 机 应 用 程序 还 要 检查 证 书 有 
效 期 、 密 钥 使 用 合法 性 和 其 他 限制 。 

简单 证 书 检验 协议 (Simple Certificate Validation Protocol, SCVP) 目前 还 是 草案 ， 


Digital OCSP 响 应 器 查询 
Certificate X.500 目 录 
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Certificate OSPR E 
X.5 


Y 


X OCSP 请 3 
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OCSP 
Good, Revoked 响应 器 
or Unknown 


图 9-26 OCSP 响应 
是 联机 证 书 状态 报告 协议 ， 用 于 克服 OCSP 的 缺点 。SCVP 与 OCSP 在 概念 上 非常 相似 ， 
这 里 仅 指 出 两 者 的 差别 ， 如 表 9-6 所 示 。 
表 9-6 OCSP 与 SCVP 的 差别 


特 点 OCSP SCVP 
客户 机 只 向 服务 | 客户 机 向 服务 器 发 送 整个 证 书 ， 因 此 服务 器 可 以 进行 更 多 的 检 


客户 端 请 求 | 器 发 送 证 书 序号 “| 查 

信任 链 只 检 查 指 定 证 书 | 客户 机 可 以 提供 中 间 证 书 集合 ， 让 服务 器 检查 

ha 只 检查 证 书 是 否 | 客户 机 可 以 请 求 其 他 检查 (如 检查 整个 信任 链 和 考虑 的 撤销 信 
撤销 息 类 型 (如 服务 器 是 否 用 CRL 或 OCSP 进行 撤销 检查 )， 等 等 


客户 机 可 以 指定 感 兴趣 的 其 他 信息 《如 服务 器 要 返回 撤销 状态 
证 明 或 返回 信任 验证 所 用 的 证 书 链 ， 等 等 ) 

客户 机 可 以 请 求 检查 证 书 的 过 去 事件 。 例如, 假设 Bob 向 Alice 
其 他 特性 无 发 了 证 书 和 签名 文档 ， 则 Alice 可 以 用 SCVP 检查 Bob 的 证 书 
在 签名 时 是 否 有 效 〈 而 非 验证 签名 时 ) 


返回 信息 只 返回 证 书 状 态 


928 漫游 证 书 

数字 证 书 应 用 的 普及 产生 了 证 书 的 便携 性 需求 。 此 前 提供 证 书 及 其 对 应 私 钥 移 动 性 
的 实际 解决 方案 主要 分 为 两 种 : 四 智能 卡 技 术 ， 在 该 技术 中 ， 公 钥 / 私 钥 对 存放 在 卡 上 ， 
但 这 种 方法 存在 缺陷 ， 如 易 丢 失 和 损坏 ， 并 且 依 赖 读 卡 器 〈 虽 然 带 USB 接口 的 智能 钥匙 
不 依赖 于 读 卡 器 , 但 成 本 太 高 ); @ 将 证 书 和 私 钥 复制 到 一 张 软 盘 上 备用 ， 但 软盘 不 仅 容 
易 丢 失 和 损坏 ， 而 且 安全 性 较 差 。 

一 个 新 的 解决 方案 就 是 使 用 漫游 证 书 。 它 通过 第 三 方 软件 提供 ， 在 任何 系统 中 ， 只 
需 正确 配置 ， 该 软件 (或 插件 ) 就 可 以 允许 用 户 访问 自己 的 公 钥 / 私 钥 对 。 其 基本 原理 非 
常 简单 ， 如 下 所 述 。 

(1) 将 用 户 的 证 书 和 私 钥 放 在 一 个 安全 的 中 央 服 务 器 〈 称 为 证 件 服务 器 ) 数据 库 中 ， 
如 图 9-27 所 示 。 

(2) 当 用 户 登 录 到 一 个 本 地 系统 时 ， 使 用 用 户 名 和 口令 通过 Intemet 向 证 件 服务 器 
认证 自己 ， 如 图 9-28 所 示 。 

(3) 证 件 服务 器 用 证 件数 据 库 验证 用 户 名 和 口令 ， 如 果 认 证 成 功 ， 则 证 件 服务 器 将 
数字 证 书 与 私 钥 文件 发 送 给 用 户 ， 如 图 9-29 所 示 。 

A 当 用 户 完成 工作 并 从 本 地 系统 注销 后 ， 该 软件 自动 删除 存放 在 本 地 系统 中 的 用 


257 


mmm 网 络 安全 一 一 技术 与 实践 (第 2 版 ) 


© 


客户 机 


<S 


客户 机 


户 证 书 和 私 钥 。 


这 种 解决 方案 的 优点 是 可 以 明显 提高 易 用 性 、 降 低 证 书 的 使 用 成 本 ， 但 它 与 已 有 的 
一 些 标准 不 一 致 ， 因 而 在 应 用 中 受到 了 一 定 限制 。 在 小 额 支付 等 低 安全 要 求 的 环境 中 ， 


D> 


数字 证 书 


[EE 

Digital 

Certificate 
a 安全 
服务 器 
OCSPi==K > 
== 
私 钥 文件 


Password | Certificate 


Key file 


图 9-27 漫游 证 书 用 户 注册 


Id=xxx 
Password 
一 本 可 本 事 本 市 安全 
服务 器 


=> f = 


User Password | Certificate 


Key file 


图 9-28 漫游 证 书 用 户 登录 


Td=xxx 
Password 
一 让 让 率 李 中 束 安 全 
服务 器 


<a 


User Password | Certificate 


区 s : 


Key file 


9-29 ”漫游 证 书 用 户 接收 数字 证 书 与 私 钥 文件 


该 解决 方案 是 一 种 较 合适 的 方法 。 
9.2.9 属性 证 书 


另 一 个 与 数字 证 书 相 关 的 新 标准 是 属性 证 书 (Attribute Certificate, AC) 标准 。 属 性 
证 书 的 结构 与 数字 证 书 相 似 ， 但 作用 不 同 。 属 性 证 书 不 包含 用 户 的 公 钥 ， 而 是 在 实体 及 
其 一 组 属性 之 间 建 立 联系 (如 成 员 关 系 、 角 色 、 安 全 清单 和 其 他 授权 细节 )。 和 数字 证 书 


一 样 ， 属 性 证 书 也 通过 签名 检验 内 容 的 改变 。 


属性 证 书 可 以 在 授权 服务 中 控制 对 网 络 、 数 据 库 等 的 访问 和 对 特定 物理 环境 的 访问 。 
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93 PKI 体系 结 构 一 一 PKIX 模型 


X.509 标准 定义 了 数字 证 书 结构 、 格 式 与 字段 ， 还 指定 了 发 布 公 钥 的 过 程 。 为 了 扩 
展 该 标准 , 令 其 更 通用 ，Internet 工作 任务 组 (IETF) 建立 了 公 钥 基础 设施 X.509 (Public 
Key Infrastructure X.509, PKIX) 工作 组 ， 扩 展 X.509 标准 的 基本 思想 ， 指 定 Intemet 中 
如 何 部 署 数字 证 书 .此 外 ,还 为 不 同 领域 的 应 用 程序 定义 了 其 他 PKI 模型 .本 节 仅 对 PKIX 
模型 进行 简要 介绍 。 


9.3.1 PKIX 服务 


PKIX 提供 的 公 钥 基础 设施 服务 包括 以 下 几 个 方面 。 

(1) 注册 。 该 过 程 是 最 终 实体 (主体) 向 CA 介绍 自己 的 过 程 , 通常 通过 注册 机 构 进 行 。 

(2) 初始 化 。 处 理 基 础 问题 ， 如 最 终 实体 如 何 保证 对 方 是 正确 的 CA。 

(3) 认证 。CA 对 最 终 实 体 生 成 数字 证 书 并 将 其 交 给 最 终 实体 ， 维 护 复制 记录 ， 并 
在 必要 时 将 其 复制 到 公共 目录 中 。 

(4) 密 钥 对 恢复 。 一 定时 间 内 可 能 要 恢复 加 密 运 算 所 用 的 密 钥 ， 以 便 旧 文档 解密 。 
密 钥 存档 和 恢复 服务 可 以 由 CA 提供 ， 也 可 由 独立 的 密 钥 恢 复 系统 提供 。 

(5) 密 钥 生成 。 PKIX 指定 最 终 实体 应 能 生成 公 钥 / 私 钥 对 ， 或 由 CARA 为 最 终 实体 
生成 (并 将 其 安全 地 发 布 给 最 终 实体 )。 

(6) 密 钥 更 新 。 可 以 从 旧 密 钥 对 向 新 密 钥 对 顺利 过 渡 ， 进 行 数字 证 书 自动 刷新 。 也 
可 提供 手工 数字 证 书 更 新 请 求 与 响应 。 

(7) 交叉 证 书 。 建 立信 任 模 型 ， 使 不 同 CA 认证 的 最 终 实 体 可 以 相互 验证 。 

(8) 撤销 。PKIX 可 以 支持 两 种 证 书 状态 检查 模型 一 一 联机 (使 用 OCSP) 或 脱 机 
(CRL). 


9.3.2 PKIX 体系 结构 


PKIX 建立 了 综合 性 文档 ， 介 绍 其 体系 结构 模型 的 5 个 域 ， 包 括 以 下 几 方面 。 

(1) X.509 v3 证 书 与 v2 证 书 撤销 列表 配置 文件 。X.509 标准 可 以 用 各 种 选项 描述 数 
字 证 书 扩 展 。PKIX 把 适合 Intemet 用 户 使 用 的 所 有 选项 组 织 起 来 ， 称 为 Intemet AP 
的 配置 文件 。 该 配置 文件 〈 参 看 RFC 2459) 指定 必须 /可 以 /不 能 支持 的 属性 ， 并 提供 
了 每 个 扩展 类 所 用 值 的 取 值 范围 。 例 如 ， 基 本 X.509 标准 没有 指定 证 书 暂 扣 时 的 指示 代 
码 一 一 PKIX 定义 了 相应 代码 。 

(2) 操作 协议 。 定 义 基础 协议 ， 向 PKI 用 户 发 布 证 书 、CRL 和 其 他 管理 与 状态 信息 
的 传输 机 制 。 由 于 每 个 要 求 都 有 不 同 的 服务 方式 , 因此 定义 了 HTTP、LDAP、 FTP, X.500 
等 的 用 法 。 

G) 管理 协议 。 这 些 协议 支持 不 同 PKI 实体 交换 信息 (如 传递 注册 请 求 、 撤 销 状 态 
或 交叉 证 书 请 求 与 响应 )。 管理 协议 指定 实体 间 浮 动 的 信息 结构 , 还 指定 处 理 这 些 信息 所 
需 的 细节 。 管 理 协 议 的 一 个 示例 是 请 求证 书 的 证 书 管理 协议 (Certificate Management 
Protocol, CMP). 
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(4) 策略 大 纲 。PKIX 在 RFC 2527 中 定义 了 证 书 策略 (Certificate Policies, CP) 和 
证 书 实务 声明 (Certificate Practice Statements, CPS) 的 大 纲 ， 其 中 定义 了 生成 证 书 策略 
之 类 的 文档 ， 确 定 对 于 特定 应 用 领域 选择 证 书 类 型 时 要 考虑 的 重点 。 

G) 时 间 标 注 与 数据 证 书 服务 。 时 间 标 注 服 务 是 由 所 谓 时 间 标 注 机 构 的 信任 第 三 方 
提供 的 ， 这 个 服务 的 目的 是 签名 消息 ， 保 证 其 在 特定 日 期 和 时 间 之 间 存 在 ， 帮 助 处 理 不 
可 抵赖 争端 。 数 据 证 书 服务 (DCS) 是 信任 第 三 方 服务 ， 验 证 所 收 到 数据 的 正确 性 ， 类 
似 于 日 常生 活 中 的 公证 方 。 


94 PKI 实例 


整个 系统 由 下 列子 系统 构成 : 

e 签发 系统 (Authority )。 

。 密 钥 管理 中 心 系统 (KMC). 

e 申请 注册 系统 (RA). 

e 证 书 发 布 系统 (DA). 

。 在 线 证 书 状态 查询 系统 (OCSP)。 

由 各 子 系统 组 成 的 PKLCA 认证 系统 的 结构 如 图 9-30 所 示 。 


密 钥 管理 中 心 D 
9 
S 
(3 3 KMC 管 理 终端 A 
DB y i 
KMC 服 务 器 ft 
© BRAG 加 
加 密 机 & 统 
wea 
N 
<S 
系统 管理 终端 > 
<S 
审计 终端 加 密 机 
`Q | 
注 
i 
| an 
统 DB 收发 服务 器 统 
/ 
AYE 业务 管理 业务 外 理 wit 制作 终端 ”证书 有 户 


(a) PKI 系 统 的 拓扑 结构 
9-30 PKICA 认证 系统 的 结构 
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(b) 一 个 PKI 系 统 实例 
图 9-30 ( 续 ) 


95 _ 授 权 管理 设施 一 一 PMI 
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9.5.1 PMI 的 定义 


ITU&IETF 编写 的 相关 文档 说 明了 如 何 使 用 属性 证 书 实现 PMI. PMI 即 权限 管理 基 
础 设施 或 授权 管理 基础 设施 ， 是 属性 证 书 、 属 性 权威 、 属 性 证 书库 等 部 件 的 集合 体 ， 用 
来 实现 权限 和 证 书 的 产生 、 管 理 、 存 储 、 分 发 和 撤销 等 功能 。 

AA (Attribute Authority, AA) 即 属性 权威 ， 是 用 来 生成 并 签发 属性 证 书 CAC) 的 
机 构 。 它 负责 管理 属性 证 书 的 整个 生命 周期 。 

AC (Attribute Certificate, AC) 即 属性 证 书 ， 对 于 一 个 实体 的 权限 绑 定 是 由 一 个 被 
数字 签名 了 的 数据 结构 来 提供 的 ,这 种 数据 结构 称 为 属性 证 书 ， 由 属性 权威 签发 并 管理 
它 包 括 一 个 展开 机 制 和 一 系列 特别 的 证 书 扩展 机 制 .下面 称 公 钥 证 书 为 PKC (Public Key 
Certificate). 
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X.509 定义 的 属性 证 书 框架 提供 了 一 个 构建 权限 管理 基础 设施 (PMI) 的 基础 ， 这 些 
结构 支持 访问 控制 等 应 用 。 属 性 证 书 的 使 用 〈 由 AA 签发 ) 提供 一 个 灵活 的 权限 管理 基 
础 设施 。 

一 个 实体 的 权限 约束 ， 应 由 属性 证 书 权威 〈 已 被 数字 签名 的 数据 结构 ) 或 由 公 钥 证 
书 权 威 〈 包 含 已 明确 定义 权限 约束 扩展 的 ) 提供 。 

PMI 实际 提出 了 一 个 新 的 信息 保护 基础 设施 ， 能 够 与 PKI 和 目录 服务 紧密 地 集成 ， 
并 系统 地 建立 起 对 认可 用 户 的 特定 授权 ， 对 权限 管理 进行 了 系统 的 定义 和 描述 ， 完 整地 
提供 了 授权 服务 所 需 过 程 。 

建立 在 PKI 基础 上 的 PMI， 以 向 用 户 和 应 用 程序 提供 权限 管理 和 授权 服务 为 目标 ， 
主要 负责 向 业务 应 用 系统 提供 与 应 用 相关 的 授权 服务 管理 ， 提 供用 户 身 份 到 应 用 授权 的 
映射 功能 ， 实 现 与 实际 应 用 处 理 模式 相对 应 的 、 与 具体 应 用 系统 开发 和 管理 无 关 的 访问 
控制 机 制 ， 极 大 地 简化 了 应 用 中 访问 控制 和 权限 管理 系统 的 开发 与 维护 ， 并 减少 了 管理 
成 本 和 复杂 性 。 


9.5.2 PMI 与 PKI 的 关系 


PKI 和 PMI 之 间 的 主要 区 别 在 于 : PMI 主要 进行 授权 管理 ,证明 这 个 用 户 有 什么 权 
限 , 能 干什么 , 即 “ 你 能 做 什么 ”; PKI 主要 进行 身份 认证 , 证 明 用 户 身份 , 即 “ 你 是 谁 ”。 
它们 之 间 的 关系 类 似 于 护照 和 签证 的 关系 。 护 照 是 身份 证 明 ， 唯 一 标识 个 人 ， 只 有 持 有 
护照 才能 证 明 你 是 一 个 合法 的 人 。 签 证 具有 属性 类 别 ， 持 有 哪 一 类 别 的 签证 才能 在 该 国 
家 进行 哪 一 类 的 活动 。 

PKI 和 PMI 两 者 实现 机 制 比较 如 图 9-31 和 图 9-32 所 示 。 


终端 实体 
操作 事务 及 PKI 用 户 
i) -管理 事务 4 
a 4 
上 LJ 注册 中 心 上 - PKI 管 理 实体 
据 
库 1 
认证 中 心 上 -- -一 其 他 CA 
图 9-31 PKI 组 织 结构 
证 书签 发 单位 服务 器 网 采集 
客户 端 采集 
客户 机 EA 属性 证 书 服务 器 
客户 端 查找 
服务 器 端 查找 
证 书 数据 库 


图 9-32 PMI 组 织 结构 
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由 于 在 X.509 中 定义 ， 一 个 实体 的 权限 约束 由 属性 证 书 权威 〈 已 被 数字 签名 的 数据 
结构 ) 或 由 公 钥 证 书 权威 〈 包 含 已 明确 定义 权限 约束 扩展 的 ) 提供 。 授 权 信息 可 以 放 在 
身份 证 书 扩展 项 (Subject Directory Attribute) 或 属性 证 书 中 ， 但 是 将 授权 信息 放 在 身份 
证 书 中 是 很 不 方便 的 。 首 先 ， 授 权 信息 和 公 钥 实体 的 生存 期 往往 不 同 ， 授 权 信息 放 在 身 
份 证 书 扩展 项 中 导致 的 结果 是 缩短 了 身份 证 书 的 生存 期 ， 而 身份 证 书 的 申请 审核 签发 的 
代价 是 较 高 的 ， 其 次 ， 对 于 授权 信息 来 说 ， 身 份 证 书 的 签发 者 通常 不 具有 权威 性 ， 这 就 
导致 身份 证 书 的 签发 者 必须 使 用 额外 步骤 从 权威 源 获得 信息 。 另 外 ， 由 于 授权 发 布 要 比 
身份 发 布 频繁 得 多 ， 对 于 同一 个 实体 可 由 不 同 的 属性 权威 来 颁发 一 属性 证 书 ， 赋 予 不 同 
的 权限 ， 因 此 ， 一 般 使 用 属性 证 书 来 容纳 授权 信息 ，PMI 可 由 PKI 建造 出 来 且 可 独立 地 
执行 管理 操作 。 但 是 两 者 之 间 还 存在 着 联系 ， 即 PKI 可 用 于 认证 属性 证 书 中 的 实体 和 所 
有 者 身份 ， 并 鉴别 属性 证 书签 发 权威 AA 的 身份 。 

PMI 和 PKI 有 很 多 相似 的 概念 ， 如 属性 证 书 与 公 钥 证 书 、 属 性 权威 与 认证 权威 等 。 
表 9-7 是 对 它们 的 比较 。 


表 9-7 PMI 和 PKI 实 体 比较 


内 容 PKI 实体 PMI 实体 
证 书 PKC 公 钥 证 书 AC 属性 证 书 
证 书 颁发 者 证 书 机 构 属性 机 构 
证 书 接收 者 证 书 主体 证 书 持 有 者 
证 书 的 绑 定 主体 的 名 字 绑 定 到 公 钥 上 证 书 持 有 者 绑 定 到 一 个 或 多 个 特权 属性 上 
证 书 撤销 证 书 撤销 列表 (CRL) 属性 证 书 撤销 列表 (ACRL) 
信任 的 根 根 CA 或 信任 锚 权威 源 SOA 
子 机 构 子 CA AA 
验证 者 可 信 方 特权 验证 者 


公 钥 证 书 将 用 户 名 称 及 其 公 钥 进行 绑 定 ， 而 属性 证 书 则 将 用 户 名 称 与 一 个 或 更 多 的 
权威 属性 进行 绑 定 。 在 这 个 方面 ， 公 钥 证 书 可 被 看 做 是 特殊 的 属性 证 书 。 

数字 签名 公 钥 证 书 的 实体 被 称 为 CA， 签名 属性 证 书 的 实体 被 称 为 AA。 

PKI 信任 源 有 时 被 称 为 根 CA, 而 PMI 信任 源 被 称 为 起 始 授 权 机 构 或 权威 源 (SOA)。 

CA 可 以 有 它们 信任 的 次 级 CA, 次 级 CA 可 以 代理 鉴别 和 认证 ，SOA 可 以 将 它们 的 
权利 授 给 次 级 AA。 如 果 用 户 需 要 废除 他 的 签字 密 铀 ， 则 CA 将 签发 证 书 撤销 列表 。 与 
之 类 似 ， 如 果 用 户 需 要 废除 授权 允许 〈Athorization Permission), AA 将 签发 一 个 属性 证 
书 撤销 列表 (ACRL). 


9.5.3 ”实现 PMI 的 机 制 | 
实现 PMI 有 多 种 机 制 ， 大 致 可 分 为 3 类 。 


1. 基于 Kerberos 的 机 制 
Kerberos 是 基于 对 称 密码 技术 的 ， 它 具有 对 称 算法 的 一 些 优秀 性 能 ， 如 便于 软 硬 件 
实现 、 比 非 对 称 密码 算法 速度 更 快 。 但 是 ， 它 存在 不 便于 密 钥 管理 和 单 点 失败 的 问题 。 
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这 种 机 制 最 适合 用 于 大 量 的 实时 事务 处 理 环境 中 的 授权 管理 。 


2. 基于 策略 服务 器 概念 的 机 制 

这 种 机 制 中 有 一 个 中 心 的 服务 器 ， 用 来 创建 、 维 护 和 验证 身份 ， 组 合 角 色 。 它 实行 
的 是 高 度 集中 的 控制 方案 , 便于 实行 单 点 管理 , 但 却 容易 形成 通信 的 “瓶颈 ”。 这 种 机 制 
最 适合 用 于 地 理 位 置 相对 集中 的 实体 环境 ， 具 有 很 强 的 中 心 管理 控制 功能 。 


3. 基于 属性 证 书 的 机 制 

类 似 于 公 钥 证 书 的 概念 ， 但 不 包括 公 钥 。 这 种 机 制 是 完全 的 分 布 式 解决 方案 ， 具 有 
失败 拒绝 的 优点 ， 但 由 于 基于 公 钥 的 操作 (因为 AC 使 用 数字 签名 进行 认证 和 完整 性 校 
验 , 包含 的 属性 可 以 用 加 密 技术 确保 机 密 性 ， 这 些 都 用 了 公 钥 技术 )， 性 能 不 高 。 这 种 机 
制 适用 于 支持 不 可 否认 服务 的 授权 管理 。 

基于 AC 的 机 制 可 以 直接 使 用 PKI.X.509 一 2000 利用 属性 证 书 定义 PMI， 以 及 如 何 
利用 PKI-CA 进行 对 用 户 访问 的 授权 管理 。 从 PMI 框架 定义 的 基础 看 ， 可 以 发 现 PMI 
与 PKI 必然 具有 很 多 相似 之 处 。 

总 之 ，PKI 处 理 的 是 公开 密 钥 证 书 ， 包 括 创 建 、 管 理 、 存 储 、 分 发 和 撤销 公开 密 钥 
证 书 的 一 整套 硬件 、 软 件 、 人 员 、 策 略 和 过 程 。 而 PMI 处 理 的 是 AC 的 管理 ， 与 PKI 类 
似 ， 它 包括 了 创建 、 管 理 、 存 储 、 分 发 和 撤销 AC 的 技术 和 过 程 。 


9.5.4 PMI 模型 


由 于 绝 大 多 数 的 访问 控制 应 用 都 能 抽象 成 一 般 的 权限 管理 模型 ， 包 括 3 个 实体 : 
对 象 、 权 限 声 称 者 〈Privilege Asserter) 和 权限 验证 者 (Privilege Verifier)。 因 此 ，PMI 
的 基本 模型 包括 3 个 实体 : 目标、 权限 持 有 者 和 权限 验证 者 。PMI 基本 模型 如 图 9-33 
所 示 。 

目标 可 以 是 被 保护 的 资源 ， 例 如 ,在 一 个 访问 控制 应 用 中 ,， 受 保护 的 资源 就 是 目标 ; 
权限 持 有 者 就 是 持 有 特定 特权 并 为 某 个 使 用 决定 特权 的 实体 ， 权 限 验 证 者 对 访问 动作 进 
行 验证 和 决策 ， 是 制定 决策 的 实体 ， 是 决定 某 次 使 用 的 特权 是 否 充分 的 实体 。 

权限 验证 者 根据 4 个 条 件 决定 访问 “通过 /失败 ” ORI HANI, @ 适 当 的 
权限 策略 ，@@ 当 前 环境 变量 CURA): @ 对 象 方法 的 敏感 度 ( 如 果 有 )。 

其 中 ， 权 限 策略 说 明了 对 于 给 定 敏感 度 的 对 象 方法 或 权限 的 用 法 和 内 容 ， 用 户 持 有 
的 权限 需要 满足 什么 条 件 和 达到 什么 要 求 。 权 限 策略 准确 定义 了 什么 时 候 权限 验证 者 应 
该 确定 一 套 已 存在 的 权限 是 “充分 的 ” 以 便 许可 〈 对 要 求 的 对 象 、 资 源 、 应 用 等 ) 权限 
持 有 者 访问 。 为 了 保证 系统 的 安全 性 ， 权 限 策略 需要 完整 性 和 可 靠 性 保护 ， 防 止 他 人 通 
过 修改 策略 而 攻击 系统 。 

控制 模型 如 图 9-34 所 示 ， 它 说 明了 如 何 控制 对 敏感 目标 程序 的 接 入 。 该 模型 有 5 个 
基本 组 件 ， 权限 持 有 者 、 权 限 验证 者 、 目 标 程序 、 权 限 策略 和 环境 变量 。 其 中 ， 权 限 验 
证 者 与 PMI 基本 模型 中 的 组 件 解释 相同 ; 权限 持 有 者 可 以 是 由 公 钥 证 书 或 档案 资料 所 定 
义 的 实体 ， 目 标 程 序 含 有 敏感 信息 。 
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SOA 
i Nate 
权限 \\ 目标 程序 
权限 持 有 者 | ammin Cy 


图 9-33 PMI 基本 模型 图 9-34 ”控制 模型 


该 模型 描述 的 方法 ， 使 得 特权 验证 者 能 够 通过 特权 持 有 者 与 特权 策略 保持 一 致 来 达 
到 对 环境 变量 的 接 入 控制 。 

特权 和 敏感 性 可 以 有 多 个 参数 值 。 

委托 模型 〈 如 图 9-35 所 示 )， 在 有 些 环境 下 可 能 会 需要 委托 特权 ， 但 是 ， 这 种 框架 
是 可 选项 ， 并 不 是 所 有 的 环境 都 必需 的 。 这 种 模型 有 4 个 组 件 : 权限 验证 者 、 终 端 实体 、 
SOA 和 普通 AA. 在 使 用 委托 的 环境 下 ，SOA 成 为 证 书 的 最 初 颁发 者 ，SOA 指定 一 些 特 
权 持 有 者 作为 AA 并 向 其 分 配 特 权 由 AA 进一步 向 其 他 实体 授权 特权 。 

角色 模型 (如 图 9-36 所 示 ) 为 角色 提供 了 一 种 间接 的 向 个 体 分 配 特 权 的 方式 。 个 体 
通过 证 书 中 的 角色 属性 分 配 到 一 个 或 多 个 角色 。AA 可 以 定义 任意 数目 的 角色 ; 角色 本 
身 和 角色 成 员 也 可 以 由 不 同 的 AA 分 别 定 义 和 管 理 ， 角 色 的 关系 类 似 于 其 他 特权 ， 是 可 
以 委托 的 ， 可 以 向 角色 和 角色 的 关系 分 配 任何 合适 的 生命 周期 。 


SOA "i SOA 
pen 信任 
分 配 权限 分 配 用 户 角 多 


mmaa | -权限 声 时 -| 权限 验证 者 
终端 实体 权限 验证 者 
角色 分 配 持 有 者 | 
委托 授权 Pt 权限 声明 角色 TT 


图 9-35 ”委托 模型 图 9-36 角色 模型 


95.5 基于 PMI 建立 安全 应 用 


PKI /PMI 和 应 用 的 逻辑 结构 如 图 9-37 所 示 。 

图 9-37 所 示 各 部 分 说 明 如 下 。 

(1) 访问 者 、 目 标 : 访问 者 是 一 个 实体 (该 实体 可 能 是 人 ， 也 可 能 是 其 他 计算 机 实 
体 )， 它 试图 访问 系统 内 的 其 他 实体 (目标 )。 

(2) 策略 : 授权 策略 展示 了 一 个 机 构 在 信息 安全 和 授权 方面 的 顶层 控制 、 授 权 遵循 
的 原则 和 具体 的 授权 信息 。 在 一 个 机 构 的 PMI 应 用 中 ， 策 略 应 当 包括 一 个 机 构 如 何 将 它 
的 人 员 和 数据 进行 分 类 组 织 ， 这 种 组 织 方 式 必须 考虑 到 具体 应 用 的 实际 运行 环境 ， 如 数 
据 的 敏感 性 、 人 员 权 限 的 明确 划分 及 必须 和 相应 人 员 层 次 相 匹配 的 管理 层次 等 因素 。 所 
以 ， 策 略 的 制定 是 需要 根据 具体 的 应 用 量 身 定做 的 。 

策略 包含 着 应 用 系统 中 的 所 有 用 户 和 资源 信息 及 用 户 和 信息 的 组 织 管理 方式 、 用 户 
和 资源 之 间 的 权限 关系 、 保 证 安全 的 管理 授权 约束 、 保 证 系统 安全 的 其 他 约束 。 在 PMI 
中 主要 使 用 基于 角色 的 访问 控制 (Role-Based Access Control，RBAC )。 
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PKI 


为 用 户 签发 身份 为 AA 等 发 身份 
i est ET ~~ PMI 

1 一 4 1 

1 | aig | | | 注册 申请 LT 属性 权威 
| | (ARA) (AA) 
| | 上 策略 实施 | | | .1 策略 决策 |_| | 

| | 1 (EP) | 1 (PDP) MNN 

i} | ft 

| C 目标 ) 策略 | LDAP 

上 1 

上 上 

| 应 用 系统 应 用 策略 支撑 框架 | 属性 证 书 (AC) 签 发 系统 


和 


图 9-37 PKIPMI 和 应 用 的 逻辑 结构 


(3) AC: 属性 证 书 (AC) 是 PMI 的 基本 概念 ， 它 是 权威 签名 的 数据 结构 ， 将 权限 
和 实体 信息 绑 定 在 一 起 。 属 性 证 书 中 包含 了 用 户 在 某 个 具体 的 应 用 系统 中 的 角色 信息 ， 
而 该 角色 具有 什么 样 的 权限 是 在 策略 中 指定 的 。 

(4) AA: 属性 证 书 的 签发 者 被 称 为 属性 权威 AA， 属 性 权威 AA 的 根 称 为 SOA。 

(5) ARA: 属性 证 书 的 注册 申请 机 构 称 为 属性 注册 权威 ARA。 

(6) LDAP: 用 来 存储 签发 的 属性 证 书 和 属性 证 书 撤销 列表 。 

(7) 策略 实施 : 策略 实施 点 (Policy Enforcement Points, PEPs) 也 称 为 PMI 激活 的 
应 用 ， 对 每 一 个 具体 的 应 用 可 能 是 不 同 的 ， 是 指 已 经 通过 接口 插件 或 代理 所 修改 过 的 应 
用 或 服务 ， 这 种 应 用 或 服务 被 用 来 实施 一 个 应 用 内 部 的 策略 决策 ， 介 于 访问 者 和 目标 之 
间 ， 当 访问 者 申请 访问 时 ， 策 略 实施 点 向 授权 策略 服务 器 申请 授权 ， 并 根据 授权 决策 的 
结果 实施 决策 ， 即 对 目标 执行 访问 或 拒绝 访问 。 在 具体 的 应 用 中 ， 策 略 实施 点 可 能 是 应 
用 程序 内 部 中 进行 访问 控制 的 一 段 代码 ， 也 可 能 是 安全 的 应 用 服务 器 (如 在 Web 服务 器 
上 增加 一 个 访问 控制 插件 )， 或 者 是 进行 访问 控制 的 安全 应 用 网 关 。 

(8) 策略 决策 : 策略 决策 点 (Policy Decision Point, PDP) 也 称 为 授权 策略 服务 器 ， 
它 接收 和 评价 授权 请 求 ， 根 据 具 体 策略 做 出 不 同 的 决策 。 它 一 般 不 随 具体 的 应 用 变化 ， 
是 一 个 通用 的 处 理 判断 逻辑 。 当 接收 到 一 个 授权 请 求 时 ， 根 据 授权 策略 、 访 问 者 的 安全 
属性 及 当前 条 件 进行 决策 ， 并 将 决策 结果 返回 给 应 用 。 对 不 同 应 用 的 支持 是 通过 解析 不 
同 的 定制 策略 来 完成 的 。 

在 实施 的 过 程 中 ， 只 需 定制 策略 实施 部 分 并 定义 相关 策略 。 


习 A 


一 、 选 择 题 
1. 数字 证 书 将 用 户 与 其 相 联系 。 
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A. 私 钥 B. 公 钥 C. 护照 D. 驾照 
2. 用 户 的 不 能 出 现在 数字 证 书 中 。 

A. AH B. 私 钥 C. 组 织 名 D. 人 名 
3. 可 以 签发 数字 证 书 。 

A. CA B. 政府 C. 小 店主 D. 银行 
4. 标准 定义 数字 证 书 结构 。 

A. X.500 B. TCP/IP C. ASN.1 D. X.509 
5. RA 签发 数字 证 书 。 

A. 可 以 B. 不 必 C. 必须 D. 不 能 
6. CA 使 用 签名 数字 证 书 。 


A. 用 户 的 公 钥 B. 用 户 的 私 钥 C. 自己 的 公 钥 D. 自己 的 私 钥 
7. 要 解决 信任 问题 ， 需 使 用 n 

A. AA B. 自 签名 证 书 C. 数字 证 书 D. 数字 签名 
8. CRL 是 的 。 

A. 联机 B. 联机 和 脱 机 C. 脱 机 D. 未 定义 
9. OCSP 是 的 。 

A. 联机 B. 联机 和 脱 机 C. 脱 机 D. 未 定义 
10. 最 高 权威 的 CA 称 为 s 

A. RCA B. RA C. SOA D. ARA 


二 、 思 考题 
. 数字 证 书 的 典型 内 容 是 什么 ? 
. CA 与 RA 的 作用 是 什么 ? 
. 简 述 交叉 证 书 的 作用 。 
. 简 述 撤销 证 书 的 原因 。 
. 列 出 创建 数字 证 书 的 4 个 关键 步骤 。 
. CA 分 层 后 面 的 思想 是 什么 ? 
. 描述 保护 数字 证 书 的 机 制 。 
. 为 什么 需要 自 签名 证 书 ? 
9. CRL、OCSP、SCVP 的 主要 区 别 是 什么 ? 
10. 请 看 这 样 一 种 情况 : 
攻击 者 4 创建 了 一 个 证 书 ， 放 置 一 个 真实 的 组 织 名 (假设 为 银行 3〉 及 攻击 者 自己 
的 公 钥 。 你 在 不 知道 是 攻击 者 在 发 送 的 情形 下 ， 得 到 了 该 证 书 ， 误 认为 该 证 书 来 自 银 行 
BB。 请 问 如 何 防 止 该 问题 的 产生 ? 


oo 让 上 wm 一 
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网 络 加 密 是 保护 网 络 信息 安全 的 重要 手段 。 网 络 环境 下 的 密 钥 管理 是 一 项 复杂 而 重 
要 的 技术 。 本 章 首先 介绍 有 关 网 络 加 密 的 方式 和 硬件 加 密 、 软 件 加 密 的 有 关 问 题 及 实现 。 
第 8 章 曾 讨论 了 密 钥 建立 协议 ， 本 章 将 介绍 密 钥 建立 的 通信 模型 ， 密 钥 分 类 、 生 成 、 长 
度 与 安全 人 性、 传递、 注入、 分配、 证实、 保护 、 存 储 、 备 份 、 恢 复 、 汇 漏 、 过 期 、 吊 销 、 
销毁 、 控 制 、 托 管 以 及 密 钥 管理 自动 化 等 有 关内 容 。 


101 网络 加 密 的 方式 及 实现 


网 络 数据 加 密 是 解决 通信 网 中 信息 安全 的 有 效 方法 。 虽 然 由 于 成 本 、 技 术 和 管理 上 
的 复杂 性 ， 网 络 数据 加 密 技术 目前 还 未 在 网 中 广泛 应 用 ， 但 从 今后 的 发 展 来 看 ， 这 是 一 
个 可 取 的 途径 。 有 关 密 码 算法 在 密码 学 课程 中 已 经 全 面 介绍 ， 这 里 主要 讨论 网 络 加 密 的 
方式 。 网 络 加 密 一 般 可 以 在 通信 的 3 个 层次 上 来 实现 ， 相 应 的 加 密 方式 有 链 路 加 密 、 节 
点 加 密 和 端 到 端 加 密 。 下 面 分 别 对 其 加 以 讨论 。 


10.1.1 链 路 加 密 


链 路 加 密 对 网 络 中 两 个 相 邻 节点 之 间 传 输 的 数据 进行 加 密 保护 ， 如 图 10-1 所 示 。 在 
受 保护 数据 所 选 定 的 路 由 上 ， 任 意 一 对 节点 和 相应 的 调制 解 调 器 之 间 都 安装 有 相同 的 密 
码 机 ， 并 配置 相应 的 密 钥 ， 不 同 节点 对 之 间 的 密码 机 和 密 钥 不 一 定 相 同 。 


明文 密 文 明文 密 文 明文 
上 ~ = 
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图 10-1 链 路 加 密 


对 于 在 两 个 网 络 节点 间 的 某 一 次 通信 链 路 ， 链 路 加 密 能 为 网 上 传输 的 数据 提供 安全 
保证 。 对 于 链 路 加 密 〈 又 称 在 线 加 密 ) 来 说 ， 所 有 消息 都 在 传输 之 前 被 加 密 。 每 个 节点 
首先 对 接收 到 的 消息 进行 解密 ， 然 后 再 使 用 下 一 个 链 路 的 密 钥 对 消息 进行 加 密 ， 并 进行 
传输 。 在 到 达 目 的 地 之 前 ， 一 条 消息 可 能 要 经 过 许多 通信 链 路 的 传输 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 使 用 得 相当 普遍 ， 但 它 并 非 没 有 问题 。 链 路 加 密 
通常 用 在 点 对 点 的 同步 或 异步 线路 上 ， 它 要 求 先 对 在 链 路 两 端的 加 密 设备 进行 同步 ， 然 
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后 使 用 一 种 链 模 式 对 链 路 上 传输 的 数据 进行 加 密 。 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 
副作用 。 

在 线路 和 信号 经 常 不 通 的 海外 或 卫星 网 络 中 ， 链 路 上 的 加 密 设备 需要 频繁 地 进行 同 
步 ， 带 来 的 后 果 是 数据 丢失 或 重 传 。 另 一 方面 ， 即 使 仅 一 小 部 分 数据 需要 进行 加 密 ， 也 
会 使 得 所 有 传输 数据 被 加 密 。 

链 路 加 密 仅 在 通信 链 路 上 提供 安全 性 ， 在 一 个 网 络 节点 ， 消 息 以 明文 形式 存在 。 因 
此 ， 所 有 节点 在 物理 上 必须 是 安全 的 ， 否 则 就 会 泄漏 明文 内 容 。 然 而 ， 要 保证 每 个 节点 
的 安全 性 需要 较 高 的 费用 。 

此 外 ， 在 对 称 ( 单 钥 ) 加 密 算法 中 ， 用 于 解密 消息 的 密 钥 与 用 于 加 密 的 密 钥 是 相同 
的 ， 该 密 钥 必须 秘密 保存 并 定期 更 换 。 这 样 ， 在 链 路 加 密 系 统 中 ， 密 钥 分 配 就 成 了 一 个 
问题 ， 因 为 每 个 节点 必须 存储 与 其 相连 接 的 所 有 链 路 的 加 密 密 钥 ， 这 就 需要 对 密 钥 进行 
物理 传送 或 者 建立 专用 网 络 设施 。 网 络 节点 地 理 分 布 的 广阔 性 使 得 这 一 过 程 变 得 复杂 ， 
同时 增加 了 密 钥 分 配 的 费用 。 


10.1.2 ”节点 加 密 


尽管 节点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ， 但 它 在 操作 方式 上 与 链 路 加 密 是 类 
似 的 : 两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 ; 都 在 中 间 节 点 先 对 消息 进行 解密 ， 
然后 进行 加 密 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 ， 所 以 加 密 过 程 对 用 户 是 透明 的 。 

然而 它 与 链 路 加 密 不 同 : 节点 加 密 不 允许 消息 在 网 络 节点 以 明文 形式 存在 。 它 先 把 
收 到 的 消息 进行 解密 ， 然 后 采用 另 一 个 不 同 的 密 钥 进行 加 密 。 这 一 过 程 在 节点 上 的 一 个 
安全 模块 中 进行 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 节 点 能 得 到 如 何 处 理 消息 
的 信息 。 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


10.1.3” 端 到 端 加 密 


如 图 10-2 所 示 ， 端 到 端 加 密 是 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 。 它 要 求 各 对 
用 户 而 不 是 各 对 节点 ) 采用 相同 的 密码 算法 和 密 钥 。 对 于 传送 通路 上 的 各 中 间 节 点 ， 
数据 是 保密 的 。 


终端 通信 网 终端 


图 10-2 端 到 端 加 密 


链 路 加 密 虽 然 能 防止 搭 线 窃听 ， 但 不 能 防止 在 消息 交换 过 程 中 由 于 错误 路 由 所 造成 
的 泄密 ， 如 图 10-3 所 示 。 在 链 路 加 密 方式 下 ， 由 网 络 提供 密码 功能 ， 故 对 用 户 来 说 是 透 
明 的 。 在 端 到 端 加 密 方式 下 ， 如 果 加 密 功 能 由 网 络 自动 提供 ， 则 对 用 户 来 说 也 是 透明 的 
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如 果 加 密 功 能 由 用 户 自己 选 定 ， 则 对 用 户 来 说 就 不 是 透明 的 。 采 用 端 到 端 加 密 方式 时 ， 
只 在 需 用 加 密 保护 数据 的 用 户 之 间 备 有 密码 设备 ， 因 而 可 以 大 大 减少 整个 网 中 使 用 密码 
设备 的 数量 。 


ce aI BD 


图 10-3 链 路 加 密 的 弱点 


端 到 端 加 密 允 许 数据 在 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 
端 加 密 (又 称 脱 线 加 密 或 包 加 密 ),， 消息 在 被 传输 时 到 达 终 点 之 前 不 进行 解密 。 由 于 消息 
在 整个 传输 过 程 中 均 受 到 保护 ， 所 以 即使 有 节点 被 损坏 也 不 会 使 消息 泄漏 。 

端 到 端 加 密 系统 的 开销 小 一 些 ， 并 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 , 更 容易 设 
计 、 实 现 和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 。 因 为 每 个 报 文 
包 均 是 独立 被 加 密 的 , 所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 
从 用 户 对 安全 需求 的 直觉 上 讲 ， 端 到 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方 
法 ， 以 便 不 影响 网 络 上 的 其 他 用 户 。 此 方法 只 需要 源 和 目的 节点 是 保密 的 即 可 。 

端 到 端 加 密 系统 通常 不 允许 对 消息 的 目的 地 址 进行 加 密 ， 这 是 因为 每 个 消息 所 经 过 
的 节点 都 要 用 此 地 址 来 确定 如 何 传输 消息 。 由 于 这 种 加 密 方法 不 能 掩盖 被 传输 消息 的 源 
点 与 终点 ， 因 此 它 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


10.1.4 RAWE 


采用 端 到 端 加 密 方式 只 能 对 报 文 加 密 ， 报 头 则 以 明文 形式 传送 ， 容 易 受 业 务 流量 分 
析 攻 击 。 为 了 保护 报头 中 的 敏感 信息 , 可 以 用 图 10-4 所 示 的 端 到 端 和 链 路 混合 加 密 方式 。 
在 此 方式 下 ， 报 文 将 被 两 次 加 密 ， 报 头 则 只 由 链 路 方式 进行 加 密 。 

在 明文 和 密 文 混 传 的 网 络 中 ， 可 在 报头 的 某 个 特定 位 上 指示 报 文 是 否 被 加 密 ， 也 可 
按 线路 协议 由 专用 控制 信息 实现 自动 起 止 加 密 操作 。 

从 成 本 、 灵 活性 和 安全 性 来 看 ， 一 般 端 到 端 加 密 方式 较 有 吸引 力 。 对 某 些 远程 处 理 
机 构 ， 链 路 加 密 可 能 更 为 合适 。 如 当 链 路 中 节点 数 很 少时 ， 链 路 加 密 操 作对 现 有 程序 是 
透明 的 ， 无 须 操作 员 干 预 。 目 前 大 多 数 链 路 加 密 设备 是 以 线路 的 工作 速度 进行 工作 的 ， 
因而 不 会 引起 传输 性 能 的 显著 下 降 。 另 外 ， 有 些 远 端 设备 的 设计 或 管理 方法 不 支持 端 到 
端 加 密 方式 。 端 到 端 加 密 的 目的 是 对 从 数据 的 源 节点 到 目的 节点 的 整个 通路 上 所 传 的 数 
据 进行 保护 。 网 络 中 所 选用 的 数据 加 密 设 备 要 与 数据 终端 设备 及 数据 电路 端 接 设备 的 接 


270 


ee 第 10 章 网 络 加 密 与 密 钥 管 理 ED 


口 一 致 ， 并 且 要 遵守 国家 和 国际 标准 规定 。 

当前 ， 信 息 技 术 及 其 应 用 的 发 展 领先 于 安全 技术 ， 因 此 应 大 力 发 展 安全 技术 以 适应 
信息 技术 发 展 的 需要 。 安 全 技术 和 它 所 带 来 的 巨大 效益 远 未 被 人 们 所 认识 ， 但 对 这 个 问 
题 的 认识 绝 不 能 太 人 迟钝 。 信 息 的 安全 设计 是 个 较 复杂 的 问题 ， 应 当 统 筹 考虑 ， 协 调 各 种 
要 求 ， 并 力求 降低 成 本 。 


图 10-4 混合 加 密 方式 


jo2 硬件、 软件 加 密 及 有 关 问 题 


10.2.1 ”硬件 加 密 的 优点 


(1) 加 密 速 度 快 。 长 期 以 来 一 直 采 用 硬件 实现 加 解密 ， 主 要 原因 是 其 加 密 速度 快 。 
许多 算法 ， 例 如 DES 和 RSA， 大 都 是 位 串 操 作 ， 而 不 是 计算 机 中 的 标准 操作 ， 它 们 在 
微 处 理 器 上 的 效率 很 低 ， 故 采用 专用 加 密 硬件 实现 在 速度 上 具有 优势 。 虽 然 有 些 算法 在 
设计 时 考虑 到 用 软件 来 实现 ， 但 算法 安全 性 总 是 第 一 位 的 。 另 外 ， 加 密 是 一 种 强化 的 精 
细 计 算 任务 ， 改 变 一 种 微 处 理 器 芯片 就 可 能 使 加 解密 的 速度 显著 提高 。 

(2) 硬件 安全 性 好 。 软 件 实现 不 可 能 有 物理 保护 ,攻击 者 可 能 有 各 种 调试 软件 工具 ， 
可 上 毫 无 觉察 地 偷偷 修改 算法 。 硬件 可 以 封装 ， 可 以 防 帘 扰 ， 因 而 难以 入 侵 修 改 。ASIC 外 
面 可 以 加 上 化 学 防护 单 ， 任 何 试 图 解剖 芯片 的 行动 都 会 破坏 其 内 部 逻辑 ， 导 致 存储 的 数 
据 自 行 擦 除 。 例 如 ， 美 国 的 Clipper 和 Capstone 芯片 均 有 防 窜 扰 设 计 ， 且 可 以 设计 得 使 
外 部 攻击 者 无 法 读 出 内 部 密 钥 。IBM 的 密 钥 管 理 系统 中 的 硬件 模块 也 有 防 帘 扰 设计 。 

硬件 实现 可 进行 电磁 屏蔽 设计 ， 即 TEMPEST 设计 ， 这 样 可 防止 电磁 辐射 泄漏 
(Electonic Radiation)。 当 然 必 须 选用 可 信赖 厂家 的 产品 。 

G) 硬件 易于 安装 。 多 数 硬件 的 应 用 独立 于 主机 。 如 对 于 电话 、FEAX、 数 据 线路 等 ， 
在 相应 终端 加 入 一 个 专用 加 密 硬件 ， 要 比 用 微 处 理 器 实现 加 密 更 方便 (但 是 多 媒体 的 出 
现 使 这 一 情况 发 生 了 改变 ); 在 计算 机 环境 下 ， 采 用 硬件 也 优 于 软件 〈 如 PCMCIA F), 


271 


mm 网络 安全 一 一 技术 与 实践 (第 2 版 ) Cs 


并 能 使 加 密 透 明 且 方便 用 户 。 若 以 软件 实现 需 在 操作 系统 的 深层 安装 ， 这 不 容易 实现 ; 
在 计算 机 和 Modem 之 间 插 入 硬件 ， 这 对 于 计算 机 新 手 并 非 难 事 。 


10.2.2 ”硬件 种 类 


(1) 自 配套 加 密 模 块 〈 含 有 口令 证 实 、 密 钥 管理 等 )。 

(2) 通信 用 加 密 盒 。 例 如 ，T-1 加 密 盒 特别 适用 于 FAX， 多 采用 异步 传输 模式 ， 也 
有 用 同步 传送 模式 的 。 发 展 趋势 是 高 速率 和 适应 多 种 应 用 。 

G) PC 插件 板 。 用 于 加 密 写 入 硬盘 的 所 有 数据 ， 可 以 有 选择 地 对 送 给 软盘 和 出 口 
的 数据 加 密 。 由 于 无 防 辐射 和 防 物理 帘 扰 设计 ， 故 需要 采取 保护 措施 ， 使 计算 机 不 受 影 
响 。 由 于 PC 插件 板 种 类 繁多 ， 且 有 些 兼 容 性 不 是 太 好 ， 在 选 购 时 要 充分 考虑 硬件 类 型 、 
操作 系统 、 应 用 软件 、 网 络 特点 等 。 与 加 密 盒 等 产品 一 样 ，PC 插件 板 都 有 相应 的 安全 密 
钥 管 理 。 


10.23 SAMs 


任何 加 密 算法 都 可 用 软件 实现 。 软 件 实现 的 缺点 是 速度 慢 ， 占 用 一 些 计算 和 存储 资 
源 ， 且 易 被 移植 。 软 件 实现 的 优点 是 灵活 、 轻 便 、 可 安装 于 多 种 机 器 上 ， 且 可 将 几 个 软 
件 组 合成 一 个 系统 ， 如 与 通信 程序 、 字 处 理 程序 等 相 结合 。 

在 所 有 主要 的 操作 系统 上 都 有 加 密 软 件 可 利用 ， 如 Macintosh System 7，Windows 
NT, UNIX, Netscape 等 。 加 密 软件 可 用 于 加 密 单个 文件 。 采 用 加 密 软件 时 密 钥 管理 的 
安全 性 极为 重要 。 不 要 在 硬盘 上 存放 密 钥 ， 加 密 后 须 将 密 钥 和 原来 未 加 密 的 文件 删除 ， 
这 一 重要 措施 常常 被 忽视 。 

软件 加 密实 现 的 最 大 问题 还 是 安全 性 。 如 在 多 任务 环境 下 ,文件 进入 系统 后 是 否 及 
时 被 加 密 ? 存 于 系统 中 的 未 加 密 密 钥 ， 可 能 是 几 分 钟 ， 也 可 能 是 几 个 月 或 更 长 ， 当 攻击 
者 出 现时 ， 文 件 可 能 还 是 明文 状态 ， 密 钥 也 可 能 仍 以 明文 形式 存在 硬盘 某 处 ， 而 被 其 用 
Vit (Fine Tooth Comb) 检 出 。 可 以 将 加 密 操 作 设置 为 高 优先 级 来 降低 这 种 风险 ， 但 
即便 如 此 仍 有 风险 。 


10.2.4 存储 数据 加 密 的 特点 


存储 数据 的 加 密 与 通信 情况 加 密 有 很 大 不 同 ， 如 破译 其 加 密 算法 所 需 的 密码 分 析 时 
间 仅 由 数据 的 价值 限定 ;数据 可 能 在 另外 的 盘 上 、 另 一 个 计算 机 上 或 在 纸 上 以 明文 形式 
出 现 ， 密 码 分 析 者 有 更 多 的 机 会 实施 已 知 明文 破译 ; 在 数据 库 应 用 中 ， 一 串 数据 可 能 小 
于 加 密 分 组 长 度 , 而 造成 密 文大 于 明文 (数据 扩展 ); 输入 输出 速度 要 求实 现 快速 加 解密 
(因而 可 能 用 硬件 加 密 器 件 来 实现 )， 密 钥 管 理 更 为 复杂 ， 因 为 不 同 的 人 要 访问 不 同 的 文 
件 ， 或 同一 文件 的 不 同 部 分 等 。 

加 密 后 文件 的 检索 。 对 未 设置 记录 项 和 文件 结构 的 文本 文件 ， 加 密 后 易于 检索 和 解 
密 恢复 其 明文 ;但 对 加 密 的 数据 库 文件 则 难以 检索 ， 要 将 整个 库 文件 解密 后 才能 访问 一 
个 记录 ， 很 不 方便 。 采 用 各 记录 独立 地 进行 加 密 时 ， 对 分 组 重 放 (Block Replay) 一 类 攻 
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击 又 较 敏感 。 


10.2.5 文件 删除 


计算 机 上 删除 文件 ， 常 常 是 删 去 了 文件 名 的 第 1 个 字母 而 使 其 不 能 检索 ， 但 文件 本 
身 仍 存在 原 处 ,直到 新 的 数据 存 入 将 其 覆盖 为 止 , 在 此 之 前 用 文件 恢复 软件 就 可 以 检 出 。 
因此 ， 真 正 从 存储 器 中 消除 所 存储 的 内 容 需 用 物理 上 的 重复 写 入 方法 。 美 国 NCSC 
(National Computer Security Center) 建议 ， 要 以 一 定格 式 的 随机 数 重 写 至 少 3 次 。 如 第 1 
次 随机 数 为 00110101…; 第 2 次 随机 数 为 11001010…， 是 对 第 1 次 随机 数 取 补 ， 第 3 
次 随机 数 为 10010111…。 原 数据 机 密级 越 高 ， 重 写 次 数 则 应 越 多 。 很 多 商用 软件 采用 3 
KES, 第 1 次 用 全 1, 第 2 次 用 全 0, 第 3 次 用 1 和 0 相间 数字 。Schneier 建议 为 7 次 ， 
第 1 次 用 全 1， 第 2 次 用 全 0， 后 5 次 用 安全 的 随机 数 。 即 使 如 此 ，NCSC 用 电子 隧道 显 
微 镜 观 测 ， 仍 然 不 能 完全 探 掉 原 数据 。 

更 成 问题 的 是 计算 机 中 广泛 使 用 虚拟 存储 ， 它 可 以 在 任何 时 候 进 行 读 、 写 ; 即使 不 
存储 数据 ， 当 敏感 文件 上 机 操作 后 ， 也 无 从 知道 它 是 否 已 从 硬盘 中 移出 。 偶 尔 将 硬盘 中 
所 有 未 用 的 空间 进行 冲 写 (overwrite)， 并 将 文件 与 文件 后 面 未 用 块 组 部 分 进行 交换 是 有 
意义 的 。 


103 ” 密 钥 管理 基本 概念 


一 个 系统 中 各 实体 之 间 通 过 共享 的 一 些 公 用 数据 来 实现 密码 技术 ， 这 些 数 据 可 能 包 
括 公 开 的 或 秘密 的 密 钥 、 初 始 化 数据 及 一 些 附加 的 非 秘密 参数 。 系 统 用 户 首先 要 进行 初 
始 化 工作 。 

密 钥 是 加 密 算法 中 的 可 变 部 分 。 对 于 采用 密码 技术 保护 的 现代 信息 系统 ， 其 安全 性 
取决 于 对 密 钥 的 保护 ， 而 不 是 对 算法 或 硬件 本 身 的 保护 。 密 码 体制 可 以 公开 ， 密 码 设备 
可 能 丢失 ， 同 一 型 号 的 密码 机 仍 可 继续 使 用 。 然 而 一 旦 密 钥 丢失 或 出 错 ， 不 但 合法 用 户 
不 能 提取 信息 ， 而 且 可 能 使 非法 用 户 窃取 信息 。 因 此 ， 产 生 密 钥 算法 的 强度 、 密 钥 长 度 
及 密 钥 的 保密 和 安全 管理 对 于 保证 数据 系统 的 安全 极为 重要 。 


10.3.1 ZAE 


密 钥 管 理 是 处 理 密 钥 从 产生 到 最 终 销毁 的 整个 过 程 中 的 有 关 问 题 ， 包 括 系统 的 初始 
化 及 密 钥 的 产生 、 存 储 、 备 份 /恢复 、 装 入 、 分 配 、 保 护 、 更 新 、 控 制 、 丢 失 、 撤 销 和 销 
毁 等 内 容 。 设 计 安 全 的 密码 算法 和 协议 并 不 容易 ， 而 管理 密 钥 则 更 难 。 密 钥 是 保密 系统 
中 最 脆弱 的 环节 ， 其 中 密 钥 分 配 和 存储 可 能 最 棘手 。 在 过 去 ， 都 是 通过 手工 作业 来 处 理 
点 到 点 通信 中 的 问题 的 。 随 着 通信 技术 的 发 展 和 多 用 户 保密 通信 网 的 出 现 ， 在 一 个 具有 
众多 交换 节点 和 服务 器 、 工 作 站 及 大 量 用 户 的 大 型 网 络 中 ， 密 钥 管理 工作 极其 复杂 ， 这 
就 要 求 密 钥 管理 系统 逐步 实现 自动 化 。 

在 一 个 大 型 通信 网 络 中 ， 数 据 将 在 多 个 终端 和 主机 之 间 进 行 传递 。 端 到 端 加 密 的 目 
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的 在 于 使 无 关 用 户 不 能 读 取 别 人 的 信息 ， 但 这 需要 大 量 的 密 钥 而 使 密 钥 管理 复杂 化 。 同 
样 ， 在 主机 系统 中 ， 许 多 用 户 向 同一 主机 存 取信 息 ， 也 要 求 彼此 之 间 在 严格 的 控制 之 下 
相互 隔离 。 因 此 ， 密 钥 管 理 系统 应 当 能 保证 在 多 用 户 、 多 主机 和 多 终端 情况 下 的 安全 性 
和 有 效 性 。 密 钥 管理 不 仅 影 响 系 统 的 安全 性 ， 而 且 涉及 系统 的 可 靠 性 、 有 效 性 和 经 济 性 。 
类 似 于 信息 系统 的 安全 性 ， 密 钥 管理 也 有 物理 上 、 人 事 上 、 规 程 上 和 技术 上 的 内 容 ， 本 
节 主 要 从 技术 上 讨论 密 钥 管理 的 有 关 问 题 。 

在 分 布 式 系统 中 ， 人 们 已 经 设计 了 用 于 自动 密 钥 分 配 业 务 的 几 个 方案 。 其 中 某 些 方 
案 已 被 成 功 地 使 用 ， 如 Kerberos 和 ANSI X.9.17 方案 采用 了 DES 技术 ， 而 ISO-CCITT 
X.509 目录 认证 方案 主要 依赖 于 公 钥 技术 。 

密 钥 管理 的 目的 是 维持 系统 中 各 实体 之 间 的 密 钥 关系 ,以 抗击 各 种 可 能 的 威胁 ， 如 : 

(1) 密 钥 的 泄漏 。 

(2) 密 钥 或 公开 钥 的 确证 性 (Authenticity) 的 丧失 ， 确 证 性 包括 共享 或 有 关于 一 个 
密 钥 的 实体 身份 的 知识 或 可 证 实 性 。 

G) 密 钥 或 公开 钥 未 经 授权 使 用 ， 如 使 用 失效 的 密 钥 或 违例 使 用 密 钥 。 

密 钥 管理 与 特定 的 安全 策略 有 关 ， 而 安全 策略 又 根据 系统 环境 中 的 安全 威胁 制定 。 
一 般 安 全 策略 需要 对 下 述 几 个 方面 做 出 规定 : @ 密 钥 管理 在 技术 和 行政 方面 要 实现 哪些 
要 求 和 所 采用 的 方法 ， 包 括 自动 和 人 工 方式 ，@ 每 个 参与 者 的 责任 和 义务 ; @ 为 支持 和 
审计 、 追 踪 与 安全 有 关 事 件 需 做 的 记录 的 类 型 。 

密 钥 管理 要 借助 加 密 、 认 证 、 签 名 、 协 议 、 公 证 等 技术 。 密 钥 管理 系统 中 常常 依靠 
可 信 第 三 方 参与 的 公证 系统 。 公 证 系统 是 通信 网 中 实施 安全 保密 的 一 个 重要 工具 ， 它 不 
仅 可 以 协助 实现 密 钥 的 分 配 和 证 实 ， 而 且 可 以 作为 证 书 机 构 、 时 戳 代 理 、 密 钥 托 管 代理 
和 公证 代理 等 。 不 仅 可 以 断定 文件 签署 时 间 ， 还 可 保证 文件 本 身 的 真实 可 靠 性 ， 使 签名 
者 不 能 否认 他 在 特定 时 间 对 文件 的 签名 。 在 发 生 纠纷 时 可 以 根据 系统 提供 的 信息 进行 促 
裁 。 公 证 机 构 还 可 采用 审计 追踪 技术 ， 对 密 钥 的 注册 、 证 书 的 制作 、 密 钥 更 新 、 撤 销 进 
行 记录 审计 等 。 


10.3.2” 密 钥 的 种 类 


密 钥 的 种 类 多 而 繁杂 ， 但 在 一 般 通信 网 的 应 用 中 有 基本 密 钥 、 会 话 密 钥 、 密 钥 加 密 
密 钥 、 主 机 主 密 钥 及 双 钥 体制 下 的 公 钥 和 私 钥 等 。 几 种 密 钥 之 间 的 关系 如 图 10-5 所 示 。 
Bik eA, 
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图 10-5 几 种 密 钥 之 间 的 关系 
(1) 基本 密 钥 (Base Key) 或 称 初始 密 钥 (Primary Key), 以 ,表示 ， 它 是 由 用 户 
选 定 或 由 系统 分 配 、 可 在 较 长 时 间 〈 相 对 于 会 话 密 钥 ) 内 由 一 对 用 户 专用 的 密 钥 ， 故 又 
称 做 用 户 密 钥 (UserKey)。 基 本 密 钥 既 要 安全 ， 又 要 便于 更 换 ， 能 与 会 话 密 钥 一 起 去 启 
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动 和 控制 某 种 算法 所 构造 的 密 钥 产生 器 ， 产 生 用 于 加 密 数 据 的 密 钥 流 。 

(2) 会 话 密 钥 (Session Key)。 两 个 通信 终端 用 户 在 一 次 通话 或 交换 数据 时 所 用 的 密 
钥 , 以 到 表示 。 当 用 于 对 传输 的 数据 进行 保护 时 ， 称 其 为 数据 加 密 密 钥 (Data Encrypting 
Key)， 当 用 于 保护 文件 时 ， 称 其 为 文件 密 钥 (File Key)。 会 话 密 钥 的 作用 是 使 人 们 可 以 
不 必 频 繁 地 更 换 基本 密 钥 ， 这 有 利于 密 钥 的 安全 和 管理 。 这 类 密 钥 可 由 用 户 双方 预先 约 
定 ， 也 可 由 系统 通过 密 钥 建 立 协议 动态 地 产生 并 赋予 通信 双方 ， 它 为 通信 双方 专用 ， 故 
又 称 专用 密 钥 (Private Key)。 由 于 会 话 密 钥 使 用 时 间 短暂 且 有 利于 安全 性 ， 它 限制 了 密 
码 分 析 者 攻击 时 所 能 得 到 的 同一 密 钥 下 加 密 的 密 文 量 ， 在 密 钥 不 慎 丢 失 时 ， 所 泄漏 的 数 
据 量 有 限 ， 会 话 密 钥 只 在 需要 时 通过 协议 建立 ， 从 而 降低 了 分 配 密 钥 的 存储 量 。 

(3) 密 钥 加 密 密 钥 (Key Encrypting Key)。 用 于 对 传送 的 会 话 或 文件 密 钥 进 行 加 密 
时 采用 的 密 钥 ， 也 称 次 主 密 钥 (Submaster Key), #8) (T2) 密 钥 (Secondary Key) 
或 密 钥 传送 密 钥 (Key Transport Key)， 以 太 表 示 。 通 信和 网 中 每 个 节点 都 分 配 有 一 个 这 类 
密 钥 。 为 了 安全 ， 各 节点 的 密 钥 加 密 密 钥 应 互 不 相同 。 每 台 主 机 都 必须 存储 有 关 到 其 他 
各 主机 和 本 主机 范围 内 各 终端 所 用 的 密 钥 加 密 密 钥 ， 而 各 终端 只 需要 一 个 与 其 主机 交换 
会 话 密 钥 时 所 需 的 密 钥 加 密 密 钥 ， 称 之 为 终端 主 密 钥 (Terminal Master Key)。 在 主机 和 
一 些 密码 设备 中 ， 存 储 各 种 密 钥 的 装置 应 有 断 电 保 护 和 防 帘 扰 、 防 欺诈 等 控制 功能 。 

(4) 主机 主 密 钥 (Host Master Key)。 它 是 对 密 钥 加 密 密 钥 进行 加 密 的 密 钥 ， 存 于 主 
PULA, Wk, HAN. 

单 密 钥 除 上 述 几 种 密 钥 外 ， 在 工作 中 还 会 碰 到 一 些 密 钥 。 例 如 ， 用 户 选 择 密 钥 
(Custom Option Key)， 用 来 保证 同一 类 密码 机 的 不 同 用 户 使 用 不 同 的 密 钥 ， 还 有 族 密 钥 
(Family Key) 及 算法 更 换 密 钥 (Algorithm Changing Key) 等 。 这 些 密 钥 的 某 些 作 用 可 以 
归 入 上 述 几 类 中 的 一 类 。 它 们 主要 是 在 不 增 大 更 换 密 钥 工 作 量 的 条 件 下 扩大 可 使 用 的 密 
钥 量 。 基 本 密 钥 一 般 通过 面板 开关 或 键盘 选 定 ， 而 用 户 选择 密 钥 常 要 通过 更 改 密 钥 产生 
算法 来 实现 。 例 如 ， 在 非 线性 移 存 器 型 密 钥 流产 生 器 中 ， 基 本 密 钥 和 会 话 密 钥 用 于 确定 
寄存 器 的 初 态 ， 而 用 户 选择 密 钥 可 决定 寄存 器 反馈 线 抽 头 的 连接 。 

(5) 在 双 钥 体制 下 ， 还 有 公开 钥 和 秘密 钥 、 签 名 密 钥 和 证 实 密 钥 之 分 。 

有 关 密 钥 管理 的 基本 论述 可 参阅 相关 文献 ISO8732 1987; Matyas 等 1991; Ford 1994; 
ITU-T REC X.509 1995a, 1995b, 1993; Menezes 等 1995]。 


404 密 钥 生 成 


在 现代 数据 系统 中 加 密 需 要 大 量 密 钥 ， 以 分 配给 各 主机 、 节 点 和 用 户 。 如 何 产生 好 
的 密 钥 是 很 关键 的 。 密 钥 可 以 用 手工 方式 产生 ， 也 可 以 用 自动 生成 器 产生 。 所 产生 的 密 
钥 要 经 过 质量 检验 ， 如 伪 随 机 特性 的 统计 检验 。 用 自动 生成 器 产生 密 钥 不 仅 可 以 减少 人 
的 烦琐 劳动 ， 而 且 还 可 以 消除 人 为 差错 和 有 意 汇 漏 ， 因 而 更 加 安全 。 自 动 生成 器 产生 密 
钥 算法 的 强度 非常 关键 。 
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10.4.1 密 钥 选择 对 安全 性 的 影响 


1. 使 密 钥 空间 减 小 
例如 56b (10%) 的 DES 在 软件 加 密 下 ， 若 只 限 用 小 写字 母 和 数字 ， 则 可 能 的 密 钥 
数 仅 为 10” 。 在 不 同 的 密 钥 空 间 下 可 能 的 密 钥 数 如 表 10-1 所 示 。 


2. 差 的 选择 方式 易 受 字典 式 攻击 

攻击 者 首先 从 最 容易 之 处 着 手 ， 如 英文 字母 、 名 字 、 普 通 的 扩展 等 ， 这 称 为 字典 式 
Wit (Dictionary Attack)，25% 以 上 的 口令 可 由 此 方式 攻破 ， 具 体 方法 如 下 : 

(1) 本 人 名 、 首 字母 、 账 户 名 等 有 关 个 人 信息 。 

(2) 从 各 种 数据 库 采 用 的 字 试 起 。 

(3) 从 各 种 数据 库 采 用 的 字 的 置换 试 起 。 

(4) 从 各 种 数据 库 采 用 的 字 的 大 写 置 换 试 起 ， 如 Michael 和 michael 等 。 

G) 外 国人 用 外 国文 字 试 起 。 

(6) 试 对 等 字 。 

这 种 攻击 方法 在 攻击 一 个 多 用 户 的 数据 或 文件 系统 时 最 有 效 ， 上 千 人 的 口令 中 总 会 
有 几 个 口令 是 较 弱 的 。 


表 10-1 密 钥 空间 


TawTaw | r] >œ 
TF OD ET 
FAC 2910" 


10.4.2 ”好 的 密 钥 


(1) REEN, SARK, WREN WERTE. 

(2) 避免 使 用 特定 算法 的 弱 密 钥 。 

G) 双 钥 系统 的 密 钥 更 难以 产生 ， 因 为 必须 满足 一 定 的 数学 关系 。 

(4) 为 了 便于 记忆 ， 密 钥 不 能 选 得 过 长 ， 而 且 不 可 能 选 完全 随机 的 数 串 ， 要 选用 易 
记 而 难 猜 中 的 密 钥 。 

S) 采用 密 钥 揉搓 或 杂凑 技术 ， 将 易 记 的 长 句子 〈10 一 15 个 英文 字 的 通行 短语 )， 
经 单 向 杂凑 函数 变换 成 伪 随 机 数 串 (64b)。 


1043 不 同等 级 的 密 钥 产生 的 方式 不 同 
(1) 主机 主 密 钥 是 控制 产生 其 他 加 密 密 钥 的 密 钥 ， 一 般 都 长 期 使 用 ， 所 以 其 安全 性 
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至 关 重 要 ， 故 要 保证 其 完全 随机 性 、 不 可 重复 性 和 不 可 预测 性 。 任 何 机 器 和 算法 所 产生 
的 密 钥 都 有 周期 性 和 被 预测 的 危险 ， 不 适合 作为 主机 主 密 钥 。 主 机 主 密 钥 的 数量 小 ， 可 
用 投 硬币 、 搓 股子、 噪声 产生 器 等 方法 产生 。 

(2) 密 钥 加 密 密 钥 可 用 安全 算法 、 二 极 管 噪声 产生 器 、 伪 随机 数 产生 器 等 产生 。 如 
在 主机 主 密 钥 控制 下 ， 由 X.9.17 安全 算法 生成 。 

(3) 会 话 密 钥 、 数 据 加 密 密 钥 〈 工 作 密 钥 ) 可 在 密 钥 加 密 密 钥 控制 下 通过 安全 算法 
产生 


405 ” 密 钥 分 配 


密 钥 分 配方 案 研 究 的 是 密码 系统 中 密 钥 的 分 发 和 传送 问题 。 从 本 质 上 讲 ， 密 钥 分 配 
是 使 用 一 串 数 字 或 密 钥 对 通信 双方 所 交换 的 秘密 信息 进行 加 密 、 解 密 、 传 送 等 操作 ， 以 
实现 保密 通信 或 认证 签名 等 。 


10.5.1 基本 方法 


通信 双方 可 通过 3 种 基本 方法 实现 秘密 信息 的 共享 : 一 是 利用 安全 信道 实现 密 钥 传 
递 ; 二 是 利用 双 钥 体制 建立 安全 信道 传递 ;三 是 利用 特定 的 物理 现象 如 量子 技术 ) k 
现 密 钥 传递 。 下 面 分 别 对 这 3 种 方法 进行 详细 介绍 。 


1. 利用 安全 信道 实现 密 钥 传递 

这 种 方法 由 通信 双方 直接 面议 或 通过 可 靠 信 使 递送 密 钥 。 传 统 的 方法 是 通过 邮递 
或 信使 护送 密 钥 。 密 钥 可 用 打印 、 穿 孔 纸 带 或 电子 形式 记录 。 这 种 方法 的 安全 性 完全 
取决 于 信使 的 忠诚 和 素质 ， 所 以 信使 必须 精心 挑选 ， 即 便 如 此 ， 仍 很 难 完全 消除 信使 
被 收买 的 可 能 性 。 这 种 方法 成 本 很 高 ， 薪 金 不 能 太 低 ， 否 则 会 危及 安全 性 。 有 人 估计 
此 项 支出 可 达 整 个 密码 设备 费用 的 三 分 之 一 。 这 种 方法 一 般 可 保证 密 钥 传递 的 及 时 性 
和 安全 性 ， 偶 尔 会 出 现 丢 失 、 泄 密 等 。 为 了 减少 费用 ， 可 采用 分 层 方式 传递 密 铀 ， 信 
使 只 传送 密 钥 加 密 密 钥 ， 而 不 去 传送 大 量 的 数据 加 密 密 钥 。 这 既 减 少 了 信使 的 工作 量 
(从 而 大 大 降低 了 费用 )， 又 克服 了 用 一 个 密 钥 加 密 过 多 数据 的 问题 。 当 然 这 不 能 完全 
克服 信使 传送 密 钥 的 缺点 。 由 于 这 种 方法 成 本 高 ， 所 以 只 适用 于 高 安全 级 密 钥 的 传递 ， 
如 主 密 钥 的 传递 。 

还 可 以 采用 某 种 更 隐蔽 的 方法 传送 密 钥 , 如 将 密 钥 分 拆 成 几 部 分 分 别 递送 ,如 图 10-6 
所 示 。 除 非 敌 手 可 以 截获 密 钥 的 所 有 部 分 ， 只 截获 部 分 密 钥 毫 无 用 处 。 因 此 ， 一 般 情况 
下 此 法 有 效 。 这 种 方法 只 适用 于 传递 少量 密 钥 的 情况 ， 如 主 密 钥 、 密 钥 加 密 密 钥 等 ， 且 
收 方 收 到 密 钥 后 要 妥善 保存 。 

用 主 密 钥 对 会 话 密 钥 加 密 后 ， 可 通过 公用 网 传送 ， 或 用 公 钥 密 钥 分 配 体制 实现 。 如 
果 采 用 的 加 密 系统 足够 安全 ， 则 可 将 其 看 做 是 一 种 安全 信道 。 
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2. 利用 双 钥 体制 建立 安全 信道 传递 

由 于 RSA、Diffie-Hellman 等 双 钥 体制 运算 量 较 大 ， 所 以 不 适合 用 于 对 语音 、 图 像 
等 实时 数据 进行 加 解密 。 但 是 ， 双 钥 体 制 却 非常 适合 用 来 进行 密 钥 的 分 配 。 我 们 知道 ， 
双 钥 体制 使 用 两 个 密 钥 ， 一 个 是 公 钥 ， 一 个 是 私 钥 。 公 钥 是 公开 的 ， 通 信 一 方 可 采用 公 
钥 对 会 话 密 钥 加 密 ， 然 后 再 将 密 文 传递 给 另 一 方 。 收 方 接收 到 密 文 后 ， 用 其 私 钥 解密 即 
可 获得 会 话 密 钥 。 当 然 ， 这 里 存在 接收 方 假冒 他 人 发 布 公 钥 的 问题 。 为 了 确保 接收 方 所 
发 布 公 钥 的 真实 性 ， 发 送 方 可 以 通过 验证 接收 方 的 数字 证 书 来 获得 可 信 的 公 钥 。 这 需要 
设计 专门 的 密码 协议 来 实现 密 钥 的 密 钥 分 配 与 交换 。 

Newman 等 于 1986 年 提出 的 SEEK (Secure Electronic Exchange of Keys) 密 钥 分 配 
体制 系统 采用 Diffie-Hellman 和 Hellman-Pohlig 密码 体制 实现 。 这 一 方法 已 被 用 于 美国 
Cylink 公司 的 密码 产品 中 。Gong 等 提出 一 种 用 GF(p) 上 的 线性 序列 构造 的 公 钥 分 配方 案 。 

也 可 通过 可 信和 密 钥 管 理 中 心 (KDC) 进行 密 钥 分 配 ， 如 采用 PEM、PKICA 等 技术 
分 配 密 钥 。 


3. 利用 量子 技术 实现 密 钥 传递 

量子 信息 将 成 为 后 莫 尔 时 代 的 新 技术 ， 它 是 量子 物理 与 信息 科学 相 融 合 的 新 兴 交 叉 
学 科 。 量 子 信息 以 量子 态 作 为 信息 单元 ， 信 息 从 产生 、 传 输 、 处 理 和 检测 等 均 服从 量子 
力学 的 规律 。 基 于 量子 力学 的 特性 ， 诸 如 码 加 性 、 非 局 域 性 、 纠 缠 性 、 不 可 克隆 性 等 ， 
量子 信息 可 以 实现 经 典 信息 无 法 做 到 的 新 的 信息 功能 ， 突 破 现 有 信息 技术 的 物理 极限 。 

量子 信息 以 光子 的 量子 态 表 征 信息 。 如 果 约 定 光 子 偏振 态 的 圆 偏振 代表 “1”， 线 偏 
振 代 表 “0”。 量 子 比特 与 经 典 比 特 的 区 别 如 图 10-7 所 示 。 


偏振 态 1 O 一 O O i 
经 典 比 特 0 1 0 1 1 0 
图 10-7 量子 比特 与 经 典 比特 的 区 别 


基于 量子 密码 的 密 钥 分 配方 法 是 利用 物理 现象 实现 的 。 量 子 密码 可 以 确保 量子 密 钥 
分 配 的 安全 性 ， 与 一 次 一 密 算法 的 不 可 破译 性 相 结 合 ， 可 提供 不 可 窃听 、 不 可 破译 的 安 
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全 保密 通信 。 密码 学 的 信息 理论 研究 指出 , 通信 双方 4 到 B 可 通过 先期 精 选 、 信息 协调 、 
保密 增强 等 密码 技术 来 实现 使 4 和 B 共享 一 定 的 秘密 信息 ， 而 窃听 者 对 其 却 一 无 所 知 。 


10.5.2” 密 钥 分 配 的 基本 工具 


认证 技术 和 协议 技术 是 分 配 密 钥 的 基本 工具 。 认 证 技术 是 安全 分 配 密 钥 的 保障 ， 协 
议 技术 是 实现 认证 和 密 钥 分 配 必须 遵循 的 流程 。 有 关 密 钥 分 配 的 各 种 协议 将 在 本 章 后 面 
做 介绍 。 


10.5.3 ” 密 钥 分 配 系统 的 基本 模式 


小 型 网 可 采用 每 对 用 户 共享 一 个 密 钥 的 方法 ， 这 在 大 型 网 中 是 不 可 实现 的 。 一 个 及 
个 用 户 的 系统 ， 为 实现 任意 两 个 用 户 之 间 的 保密 通信 ， 需 要 生成 和 分 配 NN-1)/2 个 密 钥 
才能 保证 网 中 任意 两 个 用 户 之 间 的 保密 通信 。 随 着 系统 规模 的 加 大 ， 复 杂 性 剧 增 ， 例 如 
N=1000 时 ， 就 需要 有 约 50 万 个 密 钥 进行 分 配 、 存 储 等。 为 了 降低 复杂 度 ， 人 们 常 采用 中 
心 化 密 钥 管理 方式 ， 将 一 个 可 信 的 联机 服务 器 作为 密 钥 分 配 或 转 递 中 心 (KDC 或 KTC) 
来 实现 密 钥 分 配 。 图 10-8 给 出 几 种 密 钥 分 配 的 基本 模式 ， 其 中 大 表示 4 和 B 共享 密 钥 。 

(1) 图 10-8 (a) 中 由 4 直接 将 密 钥 送 给 ， 利 用 4 与 B 的 共享 基本 密 钥 加 密实 现 。 

(2) 图 10-8 (b) 中 4 向 KDC 请 求 发 放 与 B 通信 用 的 密 钥 ，KDC 生成 大 传 给 A, 
并 通过 4 PHBH B, KDC 直接 给 利用 4 与 KDC 和 B 与 KDC 的 共享 密 钥 实现 。 

G) K 10-8 (c) 中 4 将 与 B 通 信用 会 话 密 钥 kk 送 给 KTC,，KTC 再 通过 4 转 递 给 B， 
或 KTC 直接 送 给 B， 利 用 4 与 KTC 和 B 与 KTC 的 共享 密 钥 实现 。 


4 3 
(a) 点 -点 密 钥 分 配 
() . [kpe (ii) KDC 
(O © 
MA Ko Ne 
4 || 2 | A B 
4 加 
(b) 密 钥 分 配 中 心 KDC) 
©, [KTE Gi) ov E], 
@ 42 人 No 
4 B 4 B 
kO 


(c) 密 钥 传 递 中 心 (KTC) 
10-8 密 钥 分 配 的 基本 模式 


由 于 有 KDC 或 KTC 参与 ， 各 用 户 只 须 保 存 一 个 与 KDC 或 KTC 共享 的 较 长 期 使 用 的 
密 钥 但 要 承担 的 风险 是 中 心 的 可 信赖 度 ， 中 心 节点 一 旦 出 问题 将 极 大 地 威胁 系统 的 安全 性 。 


10.5.4 可 信 第 三 方 TTP 
可 信 第 三 方 〈Trusted Third Parties, TTP) 可 按 协调 (In Line), H*#L (On Line) 和 
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脱 机 (OffLine》3 种 方式 参与 。 在 协调 方式 下 ，7T 是 一 个 中 间 人 ,为 4 与 B 之 间 通 信 提 
供 实时 服务 ; 在 联机 方式 下 ，7 实时 参与 4 和 B 每 次 协议 的 执行 , 但 4 和 B 之 间 的 通信 
不 必 经 过 7; 在 脱 机 方式 下 ， 了 不 实时 参与 4 和 B 的 协议 ， 而 是 预先 向 4 和 B 提供 双方 
执行 协议 所 需 的 信息 。 可 信 第 三 方 的 工作 模式 如 图 10-9 Aras. 


联机 TTP 
4 一 ~| 协调 TTP — B8 we 


> 
(a) 协调 (b) 联机 


A alt B 
(c) 脱 机 


图 10-9 可 信 第 三 方 的 工作 模式 
当 4 和 B 属 于 不 同 的 安全 区 域 时 ， 协 调 方式 特别 重要 。 证 书 发 放 管 理 机 构 常 采用 脱 
机 方式 。 脱 机 方式 对 计算 资源 的 要 求 较 低 ， 但 在 撤销 权宜 上 不 如 其 他 两 种 方式 方便 。 
TTP 可 以 是 一 个 公 钥 证 书 颁发 机 构 〈CA)， 利 用 PKI 技术 颁发 证 书 。 它 包括 下 述 几 
个 组 成 部 分 ， 如 图 10-10 所 示 。 


(1) 证 书 管理 机 构 (Certification Authority, 用 户 服务 器 
CA)。 负 责 公 钥 的 建立 、 可 靠 性 的 证 实 。 在 基 注册 机 构 
于 证 书 的 体制 中 ，CA 通过 对 公 钥 的 签名 将 证 密 钥 生 成 器 AJ 


书 赋 予 不 同 用 户 ， 并 负责 证 书 序号 和 证 书 吊 销 (HRA ~ 一 一 一 一 一 "| 证 书 管理 机 构 
的 管理 。 A 

(2) 用 户 名 服务 器 (Name Server)。 负 责 EJ 
管理 用 户 名 字 的 存储 空间 ， 保 持 其 唯一 性 。 Æ 10-10 公 钥 证 书 机 构 业 务 


(3) 注册 机 构 (Registrator Authority)。 对 
可 由 安全 区 内 成 员 的 唯一 名 所 区 分 的 合法 实体 负责 。 用 户 注册 一 般 包括 与 实体 有 关 的 密 
钥 材 料 。 

(4) 密 钥 生 成 器 。 建 立 公 钥 / 私 钥 对 〔 以 及 单 钥 体 制 的 密 钥 、 通 行 字 等 )， 可 以 是 用 
户 的 组 成 部 分 ， 也 可 作为 CA 的 组 成 部 分 ， 或 是 一 个 独立 的 可 信赖 系统 。 

(5) 证 书 检索 。 用 户 可 以 查阅 的 证 书 数据 库 或 服务 器 ，CA 可 以 向 它 补 充 证 书 ， 用 
户 只 可 以 管理 有 关 它 自己 的 数据 项 。 

TTP 还 可 提供 如 下 功能 : 

a) 密 钥 服务 器 。 负 责 建立 各 有 关 实 体 的 认证 密 钥 和 会 话 密 铀 ， 用 KDC 和 KTC 
表示 。 

(2) 密 钥 管理 设备 。 负 责 密 钥 的 生成 、 存 储 、 建 档 、 审 计 、 报 表 、 更 新 、 撤 销 及 管 
理 证 书 业务 等 。 

G) 密 钥 查阅 服务 。 提 供用 户 根据 权限 访问 与 其 有 关 的 密 钥 信息 。 
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(4) 时 戳 代 理 。 确 定 与 特定 文件 有 关 的 时 间 信 息 。 

(5) 仲裁 代理 。 验 证 数字 签名 的 合法 性 ， 支 持 不 可 否认 业务 、 权 益 转让 及 某 一 陈述 
的 可 信人 性 。 

(6) 托管 代理 。 接 受用 户 所 托管 的 密 钥 ， 提 供 密 钥 恢复 业务 。 

不 同 的 系统 可 能 需要 不 同 可 信 度 的 TTP， 可 信 度 一 般 分 为 3 级 : 一 级 表示 TTP 知道 
每 个 用 户 的 密 钥 ; 二 级 表示 TTP 不 知道 用 户 的 密 钥 , 但 TTP 可 制作 假 的 证 书 而 不 会 被 发 
现 ， 三 级 表示 TIP 不 知道 用 户 的 密 钥 ，TTP 所 制作 的 假 证 书 可 以 被 发 现 。 


10.5.5 AEA 


(1) 主机 主 密 钥 的 注入 。 主 密 钥 由 可 信 的 保密 员 在 非常 安全 的 条 件 下 装 入 主机 ， 一 
且 装 入 ， 就 不 能 再 读 取 。 检 验 密 钥 是 否 已 正确 地 注入 设备 ， 需 要 有 可 靠 的 算法 。 例 如 ， 
可 选 一 随机 数 Rw， 并 以 主 密 钥 Km 加 密 得 到 E,(R,)， 同 时 计算 出 KK, 的 一 个 函数 g 的 值 
9(K,) (oA Hash 函数 )。 装 入 KK, 后 ， 若 它 对 R, 加密 结果 及 gp() 值 与 记录 的 值 相同 ， 
则 表明 天 ,已 正确 装 入 主机 。 

要 防 电磁 辐射 、 防 富 扰 、 防 人 为 出 错 ， 且 要 存 入 主机 中 不 易 丢 失 数 据 的 存储 器 件 中 。 

(2) 终端 机 主 密 钥 的 注入 。 在 安全 环境 下 ， 由 可 信赖 的 保密 员 进 行 装 入 终端 。 当 终 
端 机 数量 较 多 时 ， 可 用 专用 密 钥 注 入 工具 〈 如 密 钥 枪 ) 实施 密 钥 注 入 操作 。 密 钥 注 入 后 
就 不 能 再 读 取 。 密 钥 注 入 后 要 验证 装 入 数据 的 正确 性 ， 可 以 通过 与 主机 联机 检验 ， 也 可 
脱 机 检验 。 

G) 会 话 密 钥 的 获取 。 例 如 ， 主 机 与 某 终端 通信 ， 主 机 产生 会 话 密 钥 K. ， 以 相应 终 
端 主 密 钥 K, 对 其 进行 加 密 得 Ex (Ks) ， 将 其 送 给 终端 机 。 终 端 机 以 天 进行 解密 ， 得 天 » 
送 至 工作 密 钥 产生 器 ， 去 生成 工作 密 钥 ， 如 图 10-11 所 示 。 


Ex(K,) 


终端 主 密 钥 K， 
y 


[ 作 密 铀 生成 器 | mD 
tt | 


图 10-11 会 话 密 钥 的 生成 


406 ” 密 钥 的 证 实 


在 密 钥 分 配 过 程 中 ， 需 要 对 密 钥 进行 认证 ， 以 确保 密 钥 被 正确 无 误 地 送 给 了 指定 的 
用 户 ， 防 止 伪 装 信使 递送 假 密 钥 套 取信 息 ， 并 防止 密 钥 分 配 中 的 差错 。 在 信使 递送 密 钥 
时 ， 他 需要 相信 信使 ， 并 需要 对 密 钥 进行 确证 。 例 如 ， 采 用 指纹 法 比 用 ID 卡 更 好 些 ， 而 
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让 信使 递送 加 密 后 的 密 钥 可 能 要 安全 些 。 若 密 铀 通过 加 密 密 负 送 来 ， 他 得 相信 只 有 对 广 
BAAR: 车 8 用 数字 签名 协议 签署 该 帘 钥 ， 则 当 4 证 实 此 密 铀 时 他 得 相信 公共 数 
据 库 提供 的 8 MAT: HERA KDO 签署 了 有 的 公 钥 ，4 必须 相信 KDC 给 
它 的 公 钥 复 件 未 被 纂 改 。 这 些 都 需要 对 公 钥 认证 ， 因 为 任何 可 从 公 钼 本 得 到 某 用 户 公 负 
的 人 ， 都 可 向 他 送 候 密 钥 以 求 进行 保密 通信 。 因 此 ， 必 须 使 接收 密 钥 的 用 户 能 够 确认 出 
送 密 钥 的 是 谁 。 采 用 公 钥 签名 法 可 以 解决 这 个 问题 。 虽 然 这 种 方法 能 够 证 实 递送 密 钼 者 ， 
但 还 不 能 确 知 谁 收 到 了 密 铀 ， 伪 装 者 也 可 以 公布 一 个 公 钥 冒充 合法 用 户 要 求 进行 保密 通 
信 。 除 非 这 一 合法 用 户 与 其 要 通信 的 人 进行 接触 ， 或 合法 用 户 自己 公开 声明 其 公 钥 ， 否 
则 安全 性 就 无 保障 。SEEK 法 也 存在 着 类 似 的 问题 。 因 此 ， 采 用 这 些 电 子 分 配 密 钼 方法 
时 也 要 特别 小 心 ， 需 精心 地 设计 分 配 密 钥 的 安全 协议 。 

现实 世界 可 能 有 各 种 欺诈 ， 若 攻击 者 控制 了 4 向 外 联系 的 网 络 ， 他 可 伪装 成 B RE 
一 个 加 密 并 签名 的 消息 给 4。 当 4 想 访问 公 钥 数 据 库 以 证 实 是 否 为 的 签名 时 ， 攻 击 者 
可 用 他 的 公 钥 来 代 蔡 的 公 钥 ， 且 可 伪造 一 个 假 的 KDC， 并 将 真正 的 KDC 的 公 钥 换 成 
他 自己 伪造 的 公 钥 。 此 方法 在 理论 上 是 可 行 的 ， 但 实行 起 来 很 复杂 。 采 用 数字 签名 和 可 
信赖 的 KDC， 使 得 攻击 者 以 一 个 密 钥 代 换 另 一 个 密 钥 更 为 困难 。4 不 能 低估 攻击 者 控制 
他 的 整个 网 络 的 能 力 ， 但 4 可 以 相信 要 做 此 事 所 需 的 资源 比 攻击 者 攻击 大 多 数 现 有 系统 
所 需要 的 资源 要 多 得 多 。4 可 通过 电话 证 实 B 的 公 铀 ， 即 根据 熟悉 的 声音 认证 4 所 得 的 
密 角 为 的 。 若 密 钥 太 长 ， 可 用 单 向 hash 函数 技术 证 实 密 钥 。 

有 了 时 不 仅 要 证 实 所 拥有 公 铀 的 人 是 谁 ， 而 且 还 要 证 实在 以 前 菜 个 时 候 ， 如 去 年 他 是 
否 属于 同一 个 人 。 银 行 收 到 一 个 提 款 签名 时 ， 一 般 不 太 关心 谁 所 款 ， 而 主要 关心 他 是 否 
是 最 初 存款 的 人 。 

除了 要 对 密 钥 的 主权 人 进行 认证 外 ， 还 要 对 密 钥 的 完整 性 进行 认证 。 密 钥 在 传送 过 
程 中 可 能 出 错 ， 致 使 千 百 万 位 数据 不 能 解密 ， 因 此 要 认真 对 待 。 可 采用 检 错 、 纠 错 技 术 ， 
如 校 验 和 ， 以 密 钥 对 全 0 或 全 1 常量 加 密 ， 将 密 文 的 前 2~4b 和 密 钥 一 起 通过 安全 方式 
送出 。 接 收 端 做 同样 的 事 ， 并 检验 加 密 结果 的 前 2~4b 是 否 相同 。 若 相同 ， 则 密 铀 出 错 
概率 为 2 一 2? 。 

为 了 防止 重 放 攻击 ， 系 统 需要 保证 密 钥 的 新 鲜 性 〈fieshness)， 常 用 加 载 时 吕 、 流 水 
作业 号 以 及 累加 器 值 不 断 更 新 等 技术 来 保证 [Denning 等 1981]。 下 面具 体 介绍 几 种 密 铀 
证 实 技术 。 


10.6.1 单 钥 证 书 


单 钥 证 书 可 以 向 KTC 提供 一 种 工具 ，KTC 利用 此 证 书 可 以 避免 对 用 户 秘密 的 安全 
数据 库 维护 ， 在 多 服务 器 下 复制 这 类 数据 库 ， 或 根据 传送 要 求 从 库 中 检索 这 类 密 钥 。 对 
于 用 户 4， 他 有 与 TTP 共享 的 密 钥 KAT， 以 TTP 的 密 钥 KT 对 KAT 和 用 户 4 的 身份 加 
BII ElK 4L) > 就 可 作为 单 钥 证 书 (Symmetric Key Certificates), 其 中 工 为 使 用 期 限 。 
TTP 将 Ea (Ka 4.L) 发 给 4， 作 为 用 户 使 用 密 钥 Kar 的 合法 性 证 据 ， 以 SCert, 表示 。TTP 
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不 需要 保存 ,; REA K, 即 可 ; 需要 时 ， 如 4 要 与 B 进行 保密 通信 ， 可 首先 向 B 
索取 或 从 密 钥 数 据 库 查找 出 证 书 SCerts = Ey (Kp BL)» MAE TTP 送出 
SCert ,, E,,(B,M),SCert , 
即 可 按 有 关 协 议 实现 会 话 密 钥 建 立 。 其 中 ，M 是 秘密 消息 ， 也 可 为 会 话 密 钥 。TTP 需 采 
用 联机 方式 ， 以 便 用 其 主 密 钥 进行 解密 。 密 钥 数据 库 可 以 由 各 用 户 名 及 相应 证 书 组 成 。 
有 关 单 钥 证 书 可 参阅 相关 文献 [I[SO/TEC11770 1996b]。 


10.6.2 ” 公 钥 的 证 实 技术 


公 钥 的 证 实 技术 有 下 述 几 种 方法 : 

a) 通过 可 信赖 信道 实现 点 -点 间 递 送 。 通 过 个 人 直接 交换 或 直通 信道 〈 信 使 、 挂 号 
邮件 ) 直接 得 到 有 关 用 户 的 可 靠 公 铀 ， 适 用 于 小 的 封闭 系统 或 不 经 常用 的 〈 如 一 次 性 用 
户 注册 ) 场合 。 通 过 不 安全 信道 交换 公 钥 和 有 关 信 息 要 经 过 认证 和 完整 性 检验 。 

该 方法 的 缺点 是 不 太 方便 、 耗 时 ， 每 个 新 成 员 都 要 通过 安全 信道 预先 分 配 公 钥 ， 不 
易 自 动 化 ， 可 信赖 信道 成 本 高 等 。 

(2) 直接 访问 可 信赖 公 钥 文件 ( 公 钥 注册 本 )。 利 用 一 个 公 钥 数据 库 记 录 系 统 中 每 个 
用 户 名 和 相应 的 可 靠 的 公 钥 。 可 信赖 者 管理 公 钥 的 注册 ， 用 户 通 过 访问 公 钥 数据 库 获取 
有 关 用 户 的 公 钥 ， 在 远程 访问 时 要 经 过 不 安全 信道 ， 须 防范 窃听 ; 为 了 防范 主动 攻击 需 
要 利用 认证 技术 实施 公 钥 库 的 注册 和 访问 。 

G) 利用 联机 可 信赖 服务 器 。 可 信赖 服务 器 可 以 受用 户 委托 查询 公 钥 库 中 存储 的 可 
信 公 钥 ， 并 在 签署 后 传送 给 用 户 。 用 户 用 服务 器 的 公 钥 证 实 其 所 签 的 消息 。 此 方法 的 缺 
点 是 要 求 可 信赖 服务 器 联机 工作 ， 从 而 在 业务 忙 时 成 为 瓶颈 ， 而 且 每 个 用 户 要 先 与 可 信 
赖 服务 器 通信 后 再 与 所 要 的 用 户 通信 。 

(4) 采用 脱 机 服务 器 和 证 书 。 每 个 用 户 都 可 与 脱 机 可 信赖 的 证 书 机 构 CCA) 进行 一 
次 性 的 联系 ， 向 其 进行 公 钥 注册 并 获得 一 个 由 CA 签署 的 公 钥 证 书 。 各 用 户 通过 交换 自 
己 的 公 钥 证 书 ， 并 用 CA 的 公 钥 进行 验证 ， 即 可 提取 出 所 要 的 可 信 公 和 钥 。 

(5) 采用 可 隐 含 保证 公 钥 参数 真实 性 的 系统 。 这 类 系统 有 基于 身份 的 系统 ， 以 及 通 
过 算法 设计 、 公 钼 参数 受到 修正 时 可 以 检测 、 非 泄漏 失败 (Non Compromising Failure) 
等 密码 技术 实现 的 隐 式 证 实 密 钥 的 系统 。 

有 关内 容 可 参阅 [Diffie 等 1976]。 

10.6.3 ” 公 钥 认证 树 

认证 树 〈Authentication Trees) 可 以 提供 一 种 可 证 实 公 开 数 据 的 真实 性 的 方法 ， 以 树 
形 结构 结合 合适 的 杂凑 函数 、 认 证 根 值 等 实现 。 认 证 树 可 用 于 下 述 场合 : 

a) 公 钥 的 认证 (是 另 一 种 公 钥 证 书 )， 由 可 信赖 第 三 方 建立 认证 树 ， 其 中 包含 用 户 
的 公 铜 ， 可 实现 大 量 密 钥 的 认证 。 

2) 实现 可 信赖 时 戳 业 务 ， 由 可 信赖 第 三 方 建立 认证 树 ， 用 类 似 于 〈1) 的 方法 实现 。 

(3) 用 户 合法 参数 的 认证 ， 由 某 个 用 户 建立 认证 树 ， 并 以 可 证 实 真实 性 的 方式 公布 
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其 大 量 的 公开 合法 的 参数 ， 如 在 一 次 性 签名 体制 中 所 用 的 参数 。 

下 面 以 二 元 树 为 例 说 明 。 二 元 树 由 节点 和 有 向 线段 组 成 ， 如 图 10-12 所 示 。 二 元 树 
的 节点 有 3 种 : 根 节点 ， 有 左右 两 个 朝向 它 的 线段 ， 中 间 节 点 ， 有 3 个 线段 ， 其 中 有 两 
个 朝向 它 ， 一 个 背离 它 ， 端 节点 〈( 叶 )， 只 有 一 个 背离 它 的 线段 。 

由 一 个 中 间 节 点 引出 的 左右 两 个 相 邻 节 点 称 为 该 中 间 节 点 的 子 节点 ， 称 此 中 间 节 点 
为 相应 两 个 子 节点 的 父 节点 。 从 任 一 非 根 节点 到 根 节点 有 一 条 唯一 的 通路 。 

下 面 介绍 如 何 构造 认证 树 。 考 察 一 个 有 上 个 可 信 的 公开 值 Yo Po eeo Yp PRN 
法 构造 一 个 认证 树 : 以 唯一 公开 值 二 标示 第 i 个 端 节点 ; 以 杂凑 值  ( 互 ) 表示 离 去 的 线 
段 ， 上 一 级 中 间 节 点 若 其 左右 两 边 都 有 下 级 节点 ， 则 以 其 相应 杂凑 值 链接 后 的 杂凑 值 表 
示 其 离 去 的 线段 。 如 态 ; =h( 玉 | 太 ,)， 以 此 类 推 直至 出 现 根 节点 ， 如 图 10-13 所 示 。 


R=h(H, | Hy) 


右 支 路 He=h(Hs | Hs) HERY.) 


H=h(H, || H) 


H=hY,) 


gyn SS") 
图 10-12 二 元 树 10-13 ”认证 树 

认证 方法 如 下 ， 以 图 10-13 为 例 说 明 对 密 钥 的 证 实 。 

AFE Yi 可 以 由 标示 序列 1 五 ) hO) hO) 提供 认证 。 首 先 计算 h(¥)， 然 后 计算 
H,=h(H,\|H,), EHR H, =A(H,||H,), BWA, ||H,), Æ hH, H, =R, W 
接受 石 为 真 ， 否 则 就 拒绝 。 

若 实 体 4 认证 1 个 公开 值 万 ， 环 ，…， 页 ， 可 以 将 每 个 值 向 可 信赖 第 三 方 注册 。 当 上 
很 大 时 ， 将 大 大 增加 存储 量 ， 采 用 认证 树 则 仅 需要 向 第 三 方 注册 一 个 根 值 。 

若 实体 4 的 公 钥 值 互相 应 于 认证 树 的 一 个 端 节点 ， 4 若 向 B 提供 4 的 此 公 和 钥 , 允许 
B 对 五 进 行 证 实 ,， 则 4 必须 向 B 提 供 五 到 根 节点 通路 上 的 所 有 杂凑 值 。B 就 可 经 计算 杂 
凌 最 终 证 明 五 的 真 伪 。 类 似 地 可 以 以 验证 签名 代 蔡 计算 杂凑 函数 。 

为 了 实现 方便 ， 应 使 认证 二 元 树 的 最 长 通路 极 小 化 ， 此 时 各 路 径 长 度 最 多 相差 一 个 
支 路 。 路 径 长 度 约 为 log t， 其 中 + 是 公开 值 的 个 数 。 当 需要 改变 或 增加 或 减少 一 个 公开 
值 五 时 ， 就 要 对 有 关 路 径 中 的 表示 杂凑 值 重新 进行 计算 。 


10.6.4” 公 钥 证 书 


AHER (Public Key Certificate〉 是 一 个 载体 ， 用 于 存储 公 钥 。 可 以 通过 不 安全 媒 
体 安全 地 分 配 和 转 递 公 钥 ， 使 一 个 实体 的 公 和 钥 可 被 另 一 个 实体 证 实 而 能 放心 地 使 用 。 此 
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外 ，X.509 v3 中 还 描述 了 用 于 权限 管理 的 属性 证 书 〈Attribute Certificates)。 有 关内 容 请 
参阅 第 9 章 。 


106.5 ”基于 身份 的 公 钥 系统 


基于 身份 ID (identity) 的 系统 类 似 于 前 述 的 普通 公 钥 系统 ， 它 包含 一 个 秘密 传递 变 
换 和 一 个 公开 的 变换 。 但 用 户 没有 一 个 显 式 公 钥 ， 而 是 以 用 户 公开 可 利用 的 身份 (用 户 
名 、 网 址 、 地 址 等 ) 蔡 代 公 钥 (或 由 它 构造 公 钥 )。 这 类 公开 可 利用 的 信息 唯一 地 限定 了 
用 户 ， 能 够 作为 用 户 的 身份 信息 ， 具 有 不 可 否认 性 。 

基于 身份 的 密 钥 系统 是 一 种 非 对 称 系统 ， 其 中 每 个 实体 的 公开 身份 信息 唯一 性 和 
真实 性 ) 起 着 它 的 公 钥 的 作用 ， 作 为 可 信赖 者 了 的 输入 的 组 成 部 分 ， 用 于 计算 实体 专用 
密 钥 时 不 仅 要 用 该 实体 的 身份 信息 ， 而 且 还 要 用 只 有 了 知道 的 一 些 特殊 信息 〈 如 了 的 密 
钥 )。 这 样 可 以 防止 伪造 和 假冒 ， 保 证 只 有 CA 能 够 根据 实体 的 身份 信息 为 实体 建立 合法 
的 专用 密 钥 。 类 似 于 公 钥 证 书 系统 , 基于 ID 的 系统 中 的 公开 可 利用 数据 也 需要 通过 密码 
变换 加 以 保护 。 有 时 除了 ID 数据 外 ， 还 需要 一 些 由 系统 定义 的 有 关 实 体 4 的 辅助 数据 
Dao Bl 10-14 给 出 了 基于 ID 的 系统 原理 图 。 


10-14 基于 ID 的 公 钥 签名 系统 


图 10-14 F IDa HKE A 的 身份 数据 ，DA 是 辅助 公开 数据 〈 由 了 定义 的 与 IPA 和 4 
密 钥 有 关 )，Kpr 是 7 的 公开 钥 ，Kst 是 7 的 密 钥 ， 由 三 元 组 (DaA。，IDa，Kpr) 可 以 推出 
4 的 公开 钥 ， 从 而 可 以 验证 4 的 签名 。 与 公 钥 证 书 不 同 的 是 它 传送 的 不 是 公 钥 ， 而 是 可 
以 导出 公 钥 的 一 些 有 关 身 份 的 信息 。 前 者 称 为 显 式 〈explicit) 证 书 系统 ， 后 者 称 为 隐 式 
Cimplicitly) 证 书 系统 。 图 10-14 给 出 的 是 一 个 基于 身份 的 签名 系统 。 同 样 ， 它 可 以 构造 
基于 身份 的 实体 认证 、 密 钥 建立 、 加 密 等 系统 。 

基于 ID 的 系统 优点 是 :无须 预先 交换 对 称 密 钥 或 公 钥 ; 无 须 一 个 公 钥 本 ( 公 钥 或 
证 书 数据 库 ); 只 在 建立 阶段 需要 可 信赖 机 构 提 供 服务 。 其 缺点 是 要 求实 体 身份 数据 IDa o 
基于 身份 系统 的 初 训 是 要 去 掉 公 钥 的 传送 ,以 身份 信息 实现 非 交 互 作用 协议 。 Da EEH 
协商 和 以 另 一 实体 的 公 钥 加 密 系统 中 较为 重要 ， 而 在 签名 和 识别 系统 中 就 不 大 重要 ， 这 
是 因为 申请 公 钥 人 在 接收 消息 之 前 不 会 需要 申请 者 的 公 钥 , 此 时 不 难 提供 Da 而 基于 ID 
的 系统 在 IC 卡 中 有 实用 价值 。Shamir [Shamir 1984] 最 早 提出 基于 ID 的 概念 ， 有 关 研 究 
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可 参阅 相关 文献 [Maurer “ 1991, 1992]. 


10.6.6” 隐 式 证 实 公 钥 


在 隐 式 证 实 公 钥 的 系统 中 ， 不 是 直接 传送 用 户 的 公 钥 ， 而 是 传送 可 以 从 中 重 构 公 钥 
的 数据 ， 如 图 10-15 (a) Aim. 

隐 式 证 实 公 钥 系统 应 实现 下 述 要 求 : 

(1) 实体 可 以 由 其 他 实体 从 公开 数据 重新 构造 。 

(2) 重 构 公 钥 的 公开 数据 中 ， 包 含 与 可 信赖 方 了 有 关 的 公开 (如 系统 ) 数据 、 用 户 
实体 的 身份 (或 识别 信息 ， 如 名 字 和 地 址 等 )， 以 及 各 用 户 的 辅助 公开 数据 。 

G) 重 构 公 钥 的 完整 性 虽 不 是 可 直接 证 实 的 ， 但 “正确 ”的 公 钥 只 能 从 可 信赖 用 户 
的 公开 数据 恢复 。 

(4) 系统 设计 要 保证 攻击 者 在 不 知道 了 的 密 钥 条 件 下 ， 要 从 用 于 重 构 的 公开 数据 推 
出 实体 的 密 钥 在 计算 上 是 不 可 行 的 。 

隐 式 证 实 公 钥 可 分 为 两 类 。 一 类 是 基于 身份 的 公 钥 (Identity Based Public Keys), 各 
实体 4 的 密 钥 由 可 信赖 方 了 根据 4 的 识别 信息 Da T 的 秘密 钥 Ksr， 以 及 由 了 预先 给 
定 的 有 关 4 的 用 户 特定 重 构 公开 数据 Ra 计算， 并 通过 安全 信道 送 给 4， 如 图 10-15 (b) 
所 示 。 另 一 类 是 自 证 实 公 钥 (Self-ceritified Public Keys)， 各 实体 4 自行 计算 其 密 钥 Ksa 
和 公 钥 Kes， 并 将 Koa 传送 给 To TIRRI A 的 公 钥 Kroa 的 识别 信息 IDa 和 了 的 密 钥 Ksr， 
计算 出 4 的 重 构 公开 数 据 ， 如 图 10-15(c) 所 示 。 第 1 类 对 的 可 信赖 程度 的 要 求 远 高 
于 第 2 类 。 


可 选 方案 


可 信赖 方 A Ksa 
T 安全 信道 ”| 
| 于 ID 的 ! 
| 密 钥 生成 | 
| tf +1 
i = RA ~ R; 
| [Ksr ID, = ID, 
ic : 


(b) 基于 身份 的 公 钥 (c) 自 证 实 公 钥 
图 10-15 ” 隐 式 证 实 公 钥 系统 
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隐 式 证 实 公 钥 较 公 钥 证 书 的 优越 之 处 在 于 降低 对 所 需 的 存储 空间 的 要 求 〈 签 名 的 
证 书 需要 较 多 存储 )， 降 低 了 计算 量 〈 证 书 要 求 对 签名 进行 验证 )， 降 低 了 通信 量 〈 基 
于 身份 或 预先 知道 身份 时 )。 但 重 构 公 钥 也 需要 进行 计算 ， 而 且 还 要 求 辅助 的 重 构 公 开 
数据 。 

有 关 研 究 可 参阅 相关 文献 [Brands 1995a]。 


和 7 _ 密 钥 的 保护 、 存 储 与 备份 


10.7.1 密 钥 的 保护 


密 钥 的 安全 保密 是 密码 系统 安全 的 重要 保证 ， 保 证 密 钥 安全 的 基本 原则 除了 在 有 安 
全 保证 的 环境 下 进行 密 钥 的 产生 、 分 配 、 装 入 及 存储 于 保密 柜 内 备用 之 外 ， 密 钥 绝 不 能 
以 明文 形式 出 现 。 

(1) 终端 密 钥 的 保护 。 可 用 二 级 通信 和 密 钥 (终端 主 密 钥 ) 对 会 话 密 钥 进 行 加 密 保护 。 
终端 主 密 钥 存储 于 主 密 钥 寄存 器 中 ， 并 由 主机 对 各 终端 主 密 钥 进行 管理 。 主 机 和 终端 之 
间 就 可 用 共享 的 终端 主 密 钥 保护 会 话 密 钥 的 安全 。 

(2) 主机 密 钥 的 保护 。 主 机 在 密 钥 管理 上 担负 着 更 繁重 的 任务 ， 因 而 也 是 对 手 攻 
击 的 主要 目标 。 在 任意 给 定 的 时 间 内 ， 主 机 可 有 几 个 终端 主 密 钥 在 工作 ， 因 而 其 密 
码 装 置 需 为 各 应 用 程序 所 共享 。 工 作 密 钥 存储 器 要 由 主机 施 以 优先 级 别 进行 管理 加 
密 保护 ， 称 此 为 主 密 钥 原则 。 这 种 方法 将 对 大 量 密 钥 的 保护 问题 化 为 仅 对 单个 密 钥 
的 保护 问题 。 在 有 多 台 主 机 的 网 络 系统 中 ， 为 了 安全 起 见 ， 各 主机 应 选用 不 同 的 主 
密 钥 。 有 的 主机 采用 多 个 主 密 钥 对 不 同类 密 钥 进行 保护 。 例 如 ， 用 主 密 钥 0 对 会 话 
密 钥 进行 保护 ; 用 主 密 钥 1 对 终端 主 密 钥 进行 保护 ， 而 网 络 中 传送 会 话 密 钥 时 所 用 
的 加 密 密 钥 为 主 密 钥 2。3 个 主 密 钥 可 存放 于 3 个 独立 的 存储 器 中 ， 通 过 相应 的 密码 
操作 进行 调用 ， 可 视 为 工作 密 钥 对 其 所 保护 的 密 钥 加 密 、 解 密 。 这 3 个 主 密 钥 也 可 
由 存储 于 密码 器 件 中 的 种 子 密 钥 (Seed Key) 按 某 种 密码 算法 导出 ， 以 计算 量 来 换 
取 存 储量 的 减少 。 此 法 不 如 前 一 种 方法 安全 。 除 采用 密码 方法 外 ， 还 必须 和 硬件 、 
软件 结合 起 来 确保 主机 主 密 钥 的 安全 。 

(3) 密 钥 分 级 保护 管理 法 。 图 10-16 和 表 10-2 
都 给 出 了 密 钥 的 分 级 保护 结构 ， 从 中 可 以 清楚 看 出 
各 类 密 钥 的 作用 和 相互 关系 。 由 此 可 见 ， 大 量 数据 EH 
可 以 通过 少量 动态 产生 的 数据 加 密 密 钥 ( 初 级 密 钥 ) 
进行 保护 ; 而 数据 加 密 密 钥 又 可 由 更 少量 的 、 相 对 RAE 
不 变 〈 使 用 期 较 长 ) WEH CCR) 或 主机 主 密 钥 Kyo! 密 钥 KK， 

0 来 保护 ， 其 他 主机 主 密 钥 (1 和 2) 用 来 保护 三 级 SEMER AKK, 
密 钥 。 这 样 ， 只 有 极 少数 密 钥 以 明文 形式 存储 在 有 数据 
严密 物理 保护 的 主机 密码 器 件 中 ， 其 他 密 钥 则 以 加 图 10-16” 密 钥 的 分 级 保护 


Kmi [Ko 
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密 后 的 密 文 形式 存 于 密码 器 之 外 的 存储 器 中 ,因而 大 大 简化 了 密 钥 管理 ， 并 增强 了 密 
钥 的 安全 性 。 


10-2 BARA 


TIAA 密 铀 名 用 ie 保护 对 旬 
ee ma 对 现 用 密 钥 或 存储 在 | 初级 密 角 
主机 主 密 钥 1K | oR 

EMEKI | 主机 主 密 钥 2-Km 二 级 密 铀 
AMEE K, 《或 二 级 通信 密 铀 ) 初级 通信 密 负 
文件 主 密 钥 玉 《或 二 级 文件 密 钥 ) | 对 主机 外 的 密 钥 加 密 | 初级 文件 密 铀 
会 话 (或 初级 ) EK, 传送 的 数据 

数据 加 密 密 钥 | 文件 AD EAK ADEME 存储 的 数据 


10.7.2 ” 密 钥 的 存储 


密 钥 存储 时 必须 保证 密 钥 的 机 密 性 、 认 证 性 和 完整 性 ， 防 止 泄漏 和 被 修改 。 下 面 介 
绍 几 种 可 行 的 方法 。 

(1) 每 个 用 户 都 有 一 个 用 户 加 密 文 件 备用 。 由 于 只 与 一 个 人 有 关 ， 由 个 人 负责 ， 因 
而 是 最 简易 的 存储 办 法 。 例 如 ， 在 有 些 系统 中 ， 密 钥 存 于 个 人 的 大 脑 中 ， 而 不 存 于 系统 
中 ; 用户 要 记 住 它 ， 并 且 要 在 每 次 需要 时 输入 它 ， 如 在 IPs 中 ， 用 户 可 直接 输入 64b 
密 钥 。 

(2) FA ROM 钥 卡 或 磁卡 中 。 用 户 将 自己 的 密 钥 输入 系统 ， 或 者 将 卡 放 入 读 卡 机 
或 计算 机 终端 。 若 将 密 钥 分 成 两 部 分 ， 一 半 存 入 终端 ， 另 一 半 存 入 如 ROM AFRE. 一 
E ROM 钥 卡 丢失 也 不 至 于 泄漏 密 钥 。 终 端 丢失 时 同样 不 会 丢失 密 钥 。 

G) 难以 记忆 的 密 钥 可 用 加 密 形 式 存储 ， 利 用 密 钥 加 密 密 钥 来 做 。 如 RSA 的 密 钥 可 
用 DES 加 密 后 存 入 硬盘 ， 用 户 须 有 DES 密 钥 ， 运 行 解 密 程 序 才能 将 其 恢复 。 

(4) 若 利用 确定 性 算法 来 生成 密 钥 〈 密 码 上 安全 的 PN 数 生成 器 )， 则 每 次 需要 时 ， 
用 易于 记忆 的 口令 启动 密 钥 产生 器 对 数据 进行 加 密 。 但 这 一 方法 不 适用 于 文件 加 密 ， 原 
因 是 过 后 解密 时 ， 还 得 用 原来 的 密 钥 ， 因 此 必须 要 存储 该 密 钥 。 


10.7.3” 密 钥 的 备份 


对 密 钥 进行 备份 是 非常 必要 的 。 如 一 个 单位 ， 密 钥 由 某 人 主管 ， 一 旦 发 生意 外 ， 如 
何 才 能 恢复 已 加 密 的 消息 ?因此 密 钥 必须 有 备份 ， 交 给 安全 人 员 放 在 安全 的 地 方 保管 ; 
将 各 文件 密 钥 用 主 密 钥 加 密 后 封存 。 当 然 ， 必 要 条 件 是 安全 员 是 可 信 的 ， 他 不 会 逃跑 、 
不 会 出 卖 别人 的 密 钥 或 滥用 别人 的 密 钥 。 

一 个 更 好 的 解决 办 法 是 采用 共享 密 钥 协议 。 这 种 协议 将 一 个 密 钥 分 成 几 部 分 ， 每 个 
有 关 人 员 各 保管 一 部 分 ， 但 任何 一 个 部 分 都 不 起 关键 作用 ， 只 有 将 这 些 部 分 收集 起 来 才 
能 构成 完整 的 密 钥 。 
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168 密 钥 的 泄漏 、 吊 销 、 过 期 与 销毁 


10.8.1 泄漏 与 吊销 


密 钥 的 安全 是 协议 、 算 法 和 密码 技术 设备 安全 的 基本 条 件 。 密 钥 一 旦 泄漏 ， 如 丢失 
或 被 窍 等 ， 安 全 保密 就 无 从 谈 起 。 唯 一 的 补救 办 法 是 及 时 更 换 密 钥 。 

若 密 钥 由 KDC 来 管理 ， 则 用 户 要 及 时 通知 KDC 撤销 此 密 钥 ; 若 无 KDC， 则 应 及 
时 告诉 可 能 与 其 进行 通信 的 人 ， 以 后 用 此 密 钥 通信 的 消息 无 效 且 可 疑 ， 本 人 概 不 负责 。 
当然 ， 声 明 要 加 上 时 戳 。 

当 用 户 不 确 知 密 钥 是 否 已 经 泄漏 或 泄漏 的 确切 时 间 时 ， 问 题 就 更 加 复杂 。 用 户 可 能 
要 撤回 合同 以 防 别 人 用 其 密 钥 签 署 另 一 份 合同 来 蔡 换 它 ， 这 将 引起 争执 ， 需 诉 诸 法 律 或 
公证 机 构 裁 决 。 

个 人 专用 密 钥 丢失 要 比 密 钥 丢失 更 加 严重 ， 因 为 密 钥 要 定期 更 换 ， 而 专用 密 钥 使 用 
期 更 长 。 若 丢失 了 专用 密 钥 ， 别 人 就 可 用 它 在 网 上 阅读 函件 、 窃 听 通 信和 签署 合同 等 。 
而 且 在 公用 网 上 ， 丢 失 的 专用 密 钥 传播 得 极 快 。 公 钥 数 据 库 应 当 在 专用 密 钥 丢失 后 ， 立 
即 采 取 行 动 ， 以 使 损失 最 小 化 。 


10.8.2” 密 钥 的 有 效 期 


密 钥 的 有 效 期 或 保密 期 (Cryptoperiod) 是 指 合 法 用 户 可 以 合法 使 用 密 钥 的 期 限 。 

密 钥 使 用 期 限 必须 适当 限定 。 因 为 密 钥 使 用 期 越 长 ,泄漏 的 机 会 就 越 大 , 一 旦 泄漏 ， 
带 来 的 损失 也 越 大 (涉及 更 多 文件 、 信 息 、 合 同等 )， 由 于 使 用 期 长 ， 用 同一 密 钥 加 密 的 
材料 就 越 多 ， 因 而 更 容易 被 分 析 破 译 。 

策略 : 不 同 的 密 钥 有 不 同 的 有 效 期 。Q@ 短 期 密 钥 (Short Term Keys〉 如 会 话 密 钥 ， 
使 用 期 较 短 ， 具 体 期 限 由 数据 的 价值 、 给 定 周期 内 加 密 数 据 的 量 来 确定 。 如 Gb/s 的 信道 
密 钥 要 比 9600b/s Modem 线路 的 密 钥 更 换 得 更 频繁 ， 一 般 会 话 密 钥 至 少 一 天 换 一 次 。 
@ 密 钥 加 密 密 钥 属 于 长 期 性 密 钥 (Long Term Keys)， 不 需要 经 常 更 换 ， 因 为 用 其 加 密 的 
数据 很 少 ， 但 它 很 重要 ， 一 旦 丢失 或 泄漏 ， 影 响 极 大 。 这 种 密 钥 一 般 一 个 月 或 一 年 更 换 
一 次 。@@ 用 于 加 密 数 据 文件 或 存储 数据 的 密 钥 不 能 经 常 更 换 ， 因 为 文件 可 能 在 硬盘 中 存 
储 数 月 或 数 年 才 会 再 被 访问 ， 若 每 天 更 换 新 密 钥 ， 就 得 将 其 调 出 解密 而 后 再 以 新 密 钥 加 
密 ， 这 不 会 带 来 太 多 好 处 ， 因 为 文件 将 多 次 以 明文 形式 出 现 ， 给 攻击 者 更 多 的 机 会 。 文 
件 加 密 密 钥 的 主 密 钥 应 保管 好 。@ 四 公 钥 密码 的 密 钥 ， 它 的 使 用 期 限 由 具体 应 用 来 确定 。 
用 于 签名 和 身份 验证 的 密 钥 的 期 限 可 能 以 年 计 〈 甚 至 终生 )， 但 一 般 只 用 一 两 年 。 过 期 的 
密 钥 还 要 保留 ， 以 备 证 实时 使 用 。 


10.8.3 ” 密 钥 销毁 
不 用 的 旧 密 钥 必须 销毁 ， 否 则 可 能 造成 损害 。 别 人 可 利用 旧 密 钥 来 读 原来 曾 用 它 加 
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密 的 文件 ， 或 者 用 它 来 分 析 密 码 体制 。 密 钥 必 须 安 全 地 销毁 ， 例 如 ， 可 采用 高 质量 碎 纸 
机 处 理 记录 密 钥 的 纸张 ， 使 攻击 者 不 可 能 通过 收集 旧 纸 片 来 寻求 有 关 秘 密 信 息 。 对 于 硬 
盘 、EEPROM 中 的 存储 数据 ， 要 进行 多 次 重 写 。 

潜在 的 问题 ， 存 于 计算 机 中 的 密 钥 ， 很 容易 被 多 次 复制 并 存储 于 计算 机 硬盘 中 的 不 
同位 置 。 采 用 防 窜改 器 件 能 自动 销毁 存储 在 其 中 的 密 钥 。 


和 8 ” 密 钥 控制 


密 钥 控 制 是 对 密 钥 的 使 用 进行 限制 ， 以 保证 按 预定 的 方式 使 用 密 钥 。 可 以 赋予 密 钥 
的 控制 信息 有 : 密 钥 的 主权 人 、 密 钥 的 合法 使 用 期 限 、 密 钥 的 识别 符 、 预 定 的 用 途 、 限 
定 的 算法 、 预 定 使 用 的 系统 或 环境 或 密 钥 的 授权 用 户 、 与 密 钥 注册 和 证 书 有 关 的 实体 名 
字 、 密 钥 的 完整 性 校 验 (作为 密 钥 真实 性 的 组 成 部 分 )。 

为 了 密码 的 安全 , 避免 一 个 密 钥 有 多 种 应 用 , 这 就 需要 对 密 钥 实施 隔离 (separation )， 
做 物理 上 的 10.10 节 中 密 钥 控 制 或 密码 技术 上 的 保护 ， 以 限制 密 钥 的 授权 使 用 。 密 钥 标 
签 (tags)、 密 钥 变 形 〈varionts)、 密 钥 公 证 (nortarization )、 控 制 矢 量 (control vectors) 
等 ， 都 是 为 了 对 密 钥 进行 隔离 所 附加 的 控制 信息 的 方式 。 

单 钥 体制 中 的 密 钥 控制 技术 : 

a) 密 钥 标签 。 它 以 标记 方式 限定 密 钥 的 用 途 ， 如 数据 加 密 密 钥 、 密 钥 加 密 密 钥 等 。 
它 由 比特 矢量 或 数据 段 实现 ， 其 中 还 标 有 使 用 期 限 等 。 一 般 标签 都 以 加 密 形式 附 在 密 钥 
之 后 ， 仅 当 密 钥 解 密 后 才 同 时 恢复 成 明文 。 标 签 数据 一 般 都 很 短 。 

(2) 密 钥 变形 。 从 一 个 基本 密 钥 或 衍生 (derivation) 密 钥 附 加 一 些 非 秘密 参数 和 一 
个 非 秘密 函数 导出 不 同 的 密 铀 ， 称 所 得 的 这 种 密 钥 为 密 钥 变形 或 导出 〈derived) 密 钥 。 
所 用 函数 多 采用 单 向 函数 。 

G) 密 钥 偏 移 (Key Offsetting )。 一 个 密 钥 加 密 密 钥 在 每 次 使 用 后 都 要 根据 一 个 计数 
器 所 提供 的 增 量 进行 修正 ， 从 而 可 以 防止 重 放 攻 击 。 

(4) 密 钥 公证 。 这 是 一 种 通过 在 密 钥 关 系 中 ， 将 参与 者 身份 以 显 式 方式 加 以 说 明 来 
防止 密 钥 代 换 的 技术 。 通 过 这 类 身份 对 密 钥 进行 认证 ， 并 修正 密 钥 加 密 密 钥 ， 使 得 只 有 
当 身 份 正确 时 才能 正确 地 恢复 出 受 保护 的 密 钥 。 这 种 方法 可 抗击 模仿 攻击 ， 因 而 也 可 称 
为 以 身份 密封 的 密 钥 。 在 所 有 密 钥 建 立 协议 中 都 要 防止 密 钥 代 换 攻 击 。 公 证 要 求 适当 的 
控制 信息 ， 以 保证 精确 恢复 出 加 密 的 密 钥 ， 类 似 于 隐 式 证 实 公 钥 系统 ， 它 可 以 对 密 钥 提 
供 隐 式 保 护 。 

实现 中 可 用 一 个 可 信赖 服务 器 〈 公 证 或 仲裁 ) 或 一 个 共享 密 钥 的 参与 者 ， 它 由 密 钥 
加 密 密 钥 ， 以 及 系统 赋予 发 方 和 收 方 唯一 性 的 i 和 j 构成 ， 以 下 式 表示 : 

Ere (Ks) 
收 方 必须 以 共享 秘密 钥 玉 和 正确 的 志 .7 次序 才 可 能 恢复 出 密 钥 Ks。 在 有 第 三 方 参与 时 ， 
它 首先 要 对 参与 方 的 身份 进行 认证 , 然后 向 其 提供 只 有 这 些 参与 者 可 以 恢复 的 会 话 密 钥 ， 
公证 者 可 采用 密 钥 偏 移 技 术 ， 见 例 10-1。 
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例 10-1 采用 偏 移 技术 的 密 钥 公证 。 设 有 字 长 为 64b 的 分 组 码 ， 密 钥 为 64b， 密 钥 
NB BK =K,\|K,A 128b. NW 64b 计数 器 ， 发 用 户 和 收 用 户 的 识别 符 分 别 为 
i=i |lipM j= j ljro AWA: 

K,=E 


Kg Oi 


Gig) BK, ON 

K,=Exe, (ig) OKy ON 
其 中 , N 为 计数 器 存 数 。 所 得 到 的 公证 密 钥 (Ki, Ks) 可 作为 EDE 三 重 加 密 模式 下 所 需 的 密 
钥 加 密 密 钥 。 称 上 述 Alei J) = Eror iz) 和 AEK, iJ)= Eko (ir) 为 公证 密封 
(Notarized Seals)。 若 只 需要 64b 的 密 钥 时 ， 可 做 一 些 修正 ， 采 用 K, =Kxs = 天 ， 计 算 上 
RÈ S= (Keij) A = (Koi j) 将 fi 的 左边 32b 与 万 的 右边 32b 链接 成 64b 的 万 而 后 计 
算 f@K@N 作为 公证 密 钥 。 

G) 控制 矢量 。 密 钥 公证 可 看 做 是 一 种 建立 认证 的 密码 机 构 ， 控 制 矢量 则 是 一 种 提 
供 控 制 密 钥 使 用 的 方法 ， 是 一 种 将 密 钥 标签 与 密 钥 公证 机 构 的 思想 进行 组 合 的 产物 。 对 
每 个 密 钥 Ks 都 赋予 一 个 控制 矢量 C，C 是 一 个 数 但 用 于 定义 密 钥 的 授权 使 用 。 每 次 对 一 
个 Ks 加 密 之 前 先 对 KK 进行 偏 移 ， 即 Eoc (Ks)。 

密 钥 公证 可 以 通过 在 控制 矢量 的 数值 中 加 入 特定 的 身份 说 明 来 实现 ， 也 可 以 通过 在 
C 中 限定 主体 的 身份 ID, 和 密 钥 Ks 的 使 用 权限 A(i, j) (可 采用 接 入 控制 ) 等 技术 来 实现 。 
每 次 启用 密 钥 时 ， 都 需 输 入 控制 矢量 以 实施 对 密 钥 的 保护 ， 系 统 检验 控制 矢量 后 才 以 它 
和 密 钥 一 起 恢复 出 所 要 的 密 钥 K, 。 必 须 以 正确 的 控制 矢量 C 和 正确 的 密 钥 加 密 密 钥 组 
成 的 值 天 四 C 才能 恢复 出 玉 , ， 这 可 以 防止 非 授权 接 入 密 钥 加 密 密 钥 Ko 

密 钥 的 安全 性 取决 于 正确 分 离 密 钥 的 使 用 以 及 可 信赖 的 系统 。 

当 控 制 矢量 C 的 数据 长 度 超过 密 钥 Ks 的 长 度 时 ， 可 以 采用 适当 的 杂凑 函数 先 对 C 
进行 压缩 。 加 密 运 算 为 Exexw(CKs) 。 

另外 ， 如 果 附 加 上 唯一 性 和 时 间 性 限制 ， 如 序号 、 时 戳 、 一 次 性 Nonce 等 ， 可 以 抗 
重 放 攻 击 。 

有 关 密 钥 控 制 技术 的 研究 可 参阅 相关 文献 [ISO8732 1987; ANSI X9.17 1985; Menezes 
等 1997]。 


1 有。 多 个 管区 的 密 钥 管 理 


随 着 通信 网 间 的 互 连 ， 跨 区 、 跨 国 的 全 球 性 通信 网 已 经 形成 。 本 节 介 绍 如 何 实现 多 
个 管区 之 间 的 密 钥 管理 。 

一 个 安全 区 (Security Domain) 定义 为 在 一 个 管理 机 构 控制 下 的 一 个 系统 或 子 系统 ， 
系统 中 的 每 个 实体 都 信赖 该 权威 管理 机 构 。 管 理 机 构 以 显 式 或 隐 式 方式 规定 所 管区 内 的 
安全 策略 ， 限 定 区 内 各 实体 的 共享 密 钥 或 通行 字 ， 用 以 在 实体 与 管理 机 构 之 间或 两 个 实 
体 之 间 建 立 一 个 安全 信道 ， 保 证 系统 内 的 认证 和 保密 通信 。 一 个 安全 区 可 以 是 一 个 更 大 
区 中 的 一 个 层次 。 
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令 分 属 两 个 不 同安 全 区 Da 和 Ds 的 实体 为 4 和 B， 相 应 的 可 信赖 机 构 分 别 为 Ts 和 
Ts。 保 证 4 与 B 实 施 可 靠 通信 的 要 求 ， 可 以 归结 如 下 : 

CL) 共享 对 称 密 钥 在 4 和 B 之 间 建 立 共享 密 钥 Kp， 双方 都 相信 只 有 他 们 知道 Kap 
(可 信赖 机 构 也 可 能 知道 )。 

(2) 共享 可 信赖 的 公 钥 。 对 一 个 或 更 多 个 共用 公 钥 的 信赖 可 以 作为 安全 区 之 间 的 信 
赖 桥梁 ， 彼 此 可 以 用 来 证 实 消息 的 真实 性 ， 或 保证 彼此 之 间 传 送 消息 的 机 密 性 。 

这 两 种 方式 都 可 以 维系 Ts 和 Ts 之 间 的 信赖 关系 。 有 了 这 种 关系 就 可 以 在 (4, Ta) 
(Ta, Ta), (Te, B) 之 间 建 立 起 安全 通信 信道 ， 从 而 提供 C4, B) 之 间 的 信赖 关系 ， 实 现 
安全 通信 。 

E Ta M Ts 之 间 不 存在 信赖 关系 , 可 以 通过 他 们 共同 信赖 的 第 三 机 构 TC 作为 中 介 ， 
建立 相互 之 间 的 信赖 关系 。 这 是 一 种 信赖 关系 链 (Chain of Trust)。 下 面 介绍 两 种 具体 实 
现 方式 。 


1. 可 信赖 对 称 密 钥 (Trusted Symmetric Keys) 

可 信赖 的 共享 密 钥 可 以 通过 各 种 认证 的 密 钥 建立 技术 获得 。 步 又 如 下 : 
(1) 4 向 Ta 提出 与 B 共 享 密 钥 的 请 求 。 

(2) Ts 和 Ts 间 建 立 短期 共享 密 钥 Kap 

(3) Ta 和 Ts 分 别 向 4 和 B 安全 可 靠 地 分 配 Kago 

(4) A M Kas Ñ B 进行 直接 的 保密 通信 。 


2. 可 信赖 公 钥 (Trusted Public Key) 

可 信赖 公 钥 可 以 在 已 有 的 信赖 关系 基础 上 通过 标准 的 数据 源 认 证 ， 如 数字 签名 或 消 
息 认 证 码 等 获得 。 步 又 如 下 : 

(1) 4 向 Ta 请 求 用 户 B 的 可 信赖 公开 钥 。 

(2) Ta 从 Ts 以 可 靠 方 式 得 到 B 的 公开 钥 。 

G) TA 将 其 以 可 靠 方式 传送 给 4。 

(4) 4 用 此 公 钥 和 B 进行 直接 的 保密 通信 。 

上 面 实现 的 是 一 种 信赖 的 转 递 (Transfer of Trust)。 这 种 转 递 还 可 以 通过 所 谓 的 跨 区 
证 书 (Cross Certificate) 或 CA 证 书 (CA Certificate) 实现 。 这 种 证 书 由 一 个 证 书 机 构 (CA) 
创建 ， 由 另 一 个 CA 来 证 实 其 公 钥 。 例 如 ，Te 为 B 建立 一 个 证 书 Cs， 其 中 有 B 的 身份 
MAH. Ta 制作 一 个 含有 Ts 身份 和 其 公 钥 的 跨 区 证 书 ，4 有 Ta 的 可 信赖 的 签名 证 实 密 
钥 ， 则 4 就 可 以 信赖 Cs 中 的 B 的 公 钥 (或 Te 签署 的 任何 其 他 证 书 的 公 钥 )。 因 此 ， 用 
户 4 就 可 以 从 Da 域 的 机 构 Ta 获得 由 Te 签发 的 域 De 中 实体 的 公 钥 。 

各 种 可 信赖 模型 都 是 通过 对 证 书 链 中 每 个 证 书 的 证 实 所 提供 一 种 信赖 关系 。 在 跨 区 
情况 下 ， 一旦 CAx 对 CAy 的 跨 区 公 钥 证 书证 实 后 ， 在 无 附加 条 件 时 ，CAx 就 将 这 种 对 
CAy 的 信赖 传递 给 证 书 链 可 以 到 达 的 所 有 实体 。 为 了 对 跨 区 证 书 这 种 信赖 的 扩展 范围 加 
以 限制 ，CA 可 以 在 签署 证 书 中 附加 上 约束 条 件 ， 如 限定 证 书 链 的 长 度 或 限定 合法 区 的 
集 ， 这 些 都 可 由 证 书 策略 做 出 规定 。GSM，DECT，IS-54，Kerberos，PEM 和 SPX 系统 
都 涉及 多 安全 区 的 密 钥 管理 问题 ， 相 关内 容 可 参阅 相关 文献 [Kent 1993; Tardo et al 1991; 
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Vedder 1991; Menezes et al 1997]. 
_ 条 和 1” 密 钥 管理 系统 _ 


一 个 系统 中 的 密 钥 如 果 在 所 有 时 间 上 都 是 固定 不 变 的 ， 则 对 其 管理 最 为 简单 。 但 是 
任何 实际 系统 的 密 钥 都 有 一 定 的 保密 期 , 需要 及 时 更 新 , 这 就 使 密 钥 管理 变 得 复杂 化 了 。 
例如 ， 密 钥 管理 中 心 的 证 书 机 构 要 维护 用 户 的 公 钥 的 注册 、 存 储 、 分 发 、 查 询 、 吊 销 、 更 
新 等 工作 。 这 些 工 作 又 要 依赖 于 认证 、 协 议 、 加 解密 、 签 名 、 时 戳 、 证 书 、 可 信赖 的 第 三 
方 公证 、 通 信 等 技术 的 实现 。 密 钥 管 理 系统 要 负责 密 钥 整个 生存 期 (Li Cycle) 的 管理 。 

在 网 络 通信 环境 中 ， 信 使 只 适用 于 小 型 网 络 ， 而 分 层 法 可 用 于 中 等 规模 的 网 络 。 随 
着 网 络 规模 的 加 大 ， 所 需 的 密 钥 量 越 来 越 大 ， 手 工 式 管理 已 不 适用 ， 而 要 借助 于 计算 机 
实施 自动 化 管理 ， 由 一 个 密 钥 分 配 中 心 负责 管理 分 配 密 钥 的 工作 。 用 这 种 电子 分 配 密 钥 
的 方法 ， 成 本 较 低 、 速 度 快 ， 而 且 较 为 安全 ， 适 应 通信 网 发 展 的 需要 。 

图 10-17 是 密 钥 管理 系统 框图 ， 它 包括 密 钥 生存 期 的 所 有 各 阶段 的 管理 工作 。 
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图 10-17 密 钥 管理 系统 框图 


密 钥 的 生存 期 有 4 个 阶段 ， 即 : QD 预 运行 阶段 ， 此 时 密 钥 尚 不 能 正常 使 用 ，@@ 运 行 
阶段 ， 密 钥 可 正常 使 用 ，@ 后 运行 阶段 ， 密 钥 不 再 提供 正常 使 用 ， 但 为 了 特殊 目的 可 以 
在 脱 机 下 接 入 ; @ 报 废 阶段 ， 将 有 关 被 吊销 密 钥 从 所 有 记录 中 删 去 ， 这 类 密 钥 不 可 能 
再 用 。 

密 钥 的 生存 期 的 4 个 阶段 中 共有 下 述 12 个 工作 步 又 : 

(1) 用 户 注册 。 这 是 使 一 个 实体 成 为 安全 区 内 的 一 个 授权 或 合法 成 员 的 技术 (一 次 
性 )。 注 册 过 程 包括 请 求 ， 以 安全 方式 〈 可 以 通过 个 人 交换 、 挂 号 函件 、 可 信赖 信使 等 ) 
建立 或 交换 初始 密 钥 材料 〈 如 共享 通行 字 或 PIN 等 )。 

(2) 用 户 初始 化 。 一 个 实体 要 初始 化 其 密码 应 用 的 工作 ， 如 装 入 并 初始 化 软 、 硬件， 
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装 入 和 使 用 在 注册 时 得 到 的 密 钥 材料 。 

(3) 密 钥 生成 。 密 钥 的 生成 包括 对 密 钥 密码 特性 方面 的 测量 ， 以 保证 生成 密 钥 的 随 
机 性 和 不 可 预测 性 ， 以 及 生成 算法 或 软件 的 密码 上 的 安全 性 。 用 户 可 以 自己 生成 所 需 的 
密 钥 ， 也 可 以 从 可 信赖 中 心 或 密 钥 管理 中 心 申请 。 

(4) 密 钥 输入 。 将 密 钥 材料 装 入 一 个 实体 的 硬件 或 软件 中 的 方法 很 多 ， 如 手工 送 入 
通行 字 或 PIN、 磁 盘 转 递 、 只 读 存 储 器 件 、IC 卡 或 其 他 手持 工具 〈 如 密 钥 枪 ) 等 。 初 始 
密 钥 材料 可 用 来 建立 安全 的 联机 会 话 ， 通 过 这 类 会 话 可 以 建立 会 话 〈 工 作 ) 密 钥 。 在 以 
后 的 更 新 过 程 中 ， 仍 然 可 以 用 这 种 方式 ， 以 新 的 密 钥 材 料 代 蔡 旧 的 密 钥 材 料 。 当 然 ， 最 
理想 的 办 法 是 通过 安全 联机 更 新 技术 实现 。 

G) 密 钥 注册 。 和 密 钥 输入 有 关联 的 是 密 钥 材料 ， 可 以 由 注册 机 构 正 式 地 记录 ， 并 注 
明 相 应 实体 的 唯一 性 标记 ， 如 姓名 等 。 这 对 于 实体 的 公 钥 尤为 重要 ， 常 由 证 书 机 构 制定 公 
钥 证 书 来 实现 正式 注册 ， 并 通过 公 钥 本 或 数据 库 等 在 有 关 范 围 内 公布 ， 以 供 查 询 和 检索 。 

(6) 正常 使 用 。 利 用 密 钥 进 行 正常 的 密码 操作 (在 一 定 控制 条 件 下 使 用 密 钥 )， 如 
加 /解密 、 签 名 等 。 双 钥 体 制 的 两 个 密 钥 可 能 有 不 同 的 使 用 期 。 例 如 ， 公 钥 可 能 已 过 期 不 
能 再 用 ， 但 密 钥 仍 可 继续 用 于 解密 。 

(7) 密 钥 备 份 。 以 安全 方式 存储 密 钥 ， 用 于 密 钥 恢复 。 备 份 可 看 做 是 密 钥 在 运行 阶 
段 内 的 短期 行为 。 

(8) 密 钥 更 新 。 在 密 钥 过 期 之 前 ， 以 新 的 密 钥 代替 旧 的 密 钥 。 其 中 ， 包 括 密 钥 的 生 
成 、 密 钥 推 导 ， 执 行 密 钥 交换 协议 或 与 证 书 机 构 的 可 信 第 三 方 进 行 通信 等 。 

(9) 密 钥 档 案 。 不 再 正常 使 用 的 密 钥 可 以 存 入 档案 中 并 通过 检索 查找 使 用 ， 用 于 解 
决 争执 。 这 是 密 钥 的 后 运行 阶段 的 工作 。 一 般 采 用 脱 机 方式 工作 。 

ao) 密 钥 注销 与 销毁 。 对 于 不 再 需要 的 密 钥 或 已 被 注销 〈 从 所 有 正式 记录 中 除名 ) 
用 户 的 密 铀 ， 要 将 其 所 有 副本 销毁 ， 使 其 不 能 再 出 现 。 

(11) 密 钥 恢复 。 若 密 钥 丧失 但 未 被 泄漏 〈 如 设备 故障 或 记 不 清 通行 字 )， 就 可 以 用 
安全 方式 从 密 钥 备 份 恢复 。 

(12) 密 钥 吊 销 。 如 果 密 钥 丢 失 或 因 其 他 原因 在 密 钥 未 过 期 之 前 ， 需 要 将 其 从 正常 运 
行使 用 的 集合 中 除去 ， 即 密 钥 吊销 。 对 于 证 书 中 的 公 钥 ， 可 通过 吊销 公 钥 证 书 实现 对 公 
钥 的 吊销 。 

上 述 12 个 步骤 ,， 除 密 钥 恢复 和 吊销 外 均 属 正常 工作 步骤 。 单 钥 体 制 的 密 钥 管理 要 比 
双 钥 体制 简单 些 ， 通 常 没有 注册 、 备 份 、 吊 销 或 存档 等 。 但 一 个 大 系统 的 密 钥 管理 仍然 
是 一 项 十 分 复杂 的 任务 。 

整个 密 钥 管理 系统 也 需要 一 个 初始 化 过 程 ， 以 便 提 供 一 个 初始 化 安全 信道 有 选择 地 
支持 其 后 的 (长 期 和 短期 工作 密 钥 的 自动 化 建立 。 初 始 化 是 一 种 非 密码 的 工作 一 次 
性 ), 将 密 钥 材料 由 管理 者 亲自 (由 可 信赖 信使 或 通过 其 他 可 信赖 信道 ) 装 入 系统 。 初 始 
化 阶段 密 钥 的 装 入 对 整个 密 钥 管理 系统 的 安全 至 关 重 要 ， 为 此 常常 需要 采用 双重 或 分 拆 
控制 ， 由 两 个 或 更 多 可 信赖 者 独立 地 实施 。 

有 关 密 钥 管理 系统 的 研究 可 参阅 相关 文献 [ISO/TEC11770 1996a; ANSI X9.57 1995; 
ISO10202-7 1994; Menezes 等 1997]。 
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4 wa 
m 填空 题 
1. 网 络 加 密 方式 有 4 种 ， 它 们 分 别 是 、 x 和 
2. 在 通信 网 的 数据 加 密 中 , 密 钥 可 分 为 3 z 和 
3. 密 钥 分 配 的 基本 方法 有 ` 和 等 
4. 在 网 络 中 ， 可 信 第 三 方 TTP 的 角色 可 以 由 3 4 
和 等 来 承担 (请 任意 举 出 4 个 例子 )。 
5. 按照 协议 的 功能 分 类 ， 密 码 协 议 可 以 分 为 、 和 
6. Diffie-Hellman 密 钥 交 换 协 议 不 能 抵抗 攻击 。 
7. Kerberos 提供 
A. WE B. SSO 
C. 远程 登录 D. 本 地 登录 
8. 在 Kerberos 中 ， 人 允许 用 户 访问 不 同 应 用 程序 或 服务 器 的 服务 器 称 为 ó 
A. AS B. TGT 
C. TGS D. 文件 服务 器 
9. 在 Kerberos 中 ， 与 系统 中 的 每 个 用 户 共享 唯一 一 个 口令 。 
A. AS B: TGT 
C. TGS D. 文件 服务 器 
二 、 思 考题 


1. 网 络 加 密 有 哪 几 种 方式 ? 请 比较 它们 的 优 缺点 。 
2. 请 分 析 比 较 硬件 加 密 和 软件 加 密 的 优 缺 点 。 
3. 密 钥 管理 包含 哪些 内 容 ? 密 钥 管理 需要 借助 于 哪些 密码 技术 来 完成 ? 
4. 密 铀 有 哪些 种 类 ? 它们 各 自 的 用 途 是 什么 ? 请 简 述 它们 之 间 的 关系 。 
5. 一 个 好 的 密 钥 应 该 具备 哪些 特性 ? 
6. 在 实际 系统 中 ， 如 何 产生 和 选择 好 的 密 钥 ? 
7. 密 钥 分 配 的 基本 模式 有 哪些 ? 

8. 密 钥 分 配 协议 有 哪些 种 类 ? 在 密 钥 交换 时 为 什么 需要 进行 身份 认证 ? 

9. 在 实际 工作 中 ， 有 哪些 密 钥 分 配 的 方法 ? 有 哪些 自动 分 发 密 钥 的 方法 ? 

10. 什么 是 隐 式 证 实 公 钥 系统 ? 它 可 以 分 为 哪 几 类 ? 

11. 在 密码 系统 中 ， 密 钥 是 如 何 进行 保护 、 存 储 和 备份 的 ? 

12. 在 实际 系统 中 ， 如 何 对 密 钥 进行 控制 ? 单 钥 体制 中 的 密 钥 控制 技术 有 哪些 ? 
13. 密 钥 如 何 撤销 和 销毁 ? 
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第 11 ae 
无 线 网 络 安全 


自从 意大利 人 马 可 尼 在 1896 年 申请 了 第 一 个 无 线 电报 专利 以 来 , 无 线 技术 已 经 彻底 
地 改变 了 人 们 接收 信息 的 方式 。 从 最 早 的 收音 机 到 现在 的 手机 、 无 线 网 络 设备 ， 无 线 通 
信 得 到 了 长 足 发 展 ， 也 催生 了 一 系列 的 产品 和 服务 。 

无 线 技术 与 网 络 技术 的 融合 提供 了 即时 通信 、 永 久 在 线 的 可 能 性 ， 预 示 着 另 一 场 计 
算 革 命 的 到 来 ， 它 的 发 展 前 景 似乎 是 无 限 的。 然而 ， 作 为 一 种 新 的 技术 ， 新 的 标准 层 出 
不 穷 ， 大 家 都 想 尽 快 出 发 ， 却 没有 把 安全 放 在 根本 的 位 置 上 。 无 线 通 信 与 生 俱 来 就 会 受 
到 各 种 安全 威胁 : 数据 被 窍 听 、 被 算 改 、 隐 私 被 侵犯 。 如 果 安 全 威胁 不 能 得 到 防御 ， 无 
线 网 络 的 发 展 将 受到 阻碍 。 值 得 庆幸 的 是 ， 这 种 需求 正在 得 到 重视 ，WTLSP 和 802.1X 
等 标准 正在 逐步 得 到 完善 。 

本 章 旨 在 对 现在 的 无 线 网 络 安全 技术 做 总 结 ， 主 要 介绍 如 下 内 容 : 

。 无 线 网 络 面临 的 安全 威胁 。 

。 无 线 网 络 的 安全 协议 分 析 。 

。 无 线 网 络 安全 的 解决 方案 。 

无 线 网 络 是 前 沿 技术 ， 不 幸 的 是 ， 前 沿 意味 着 各 种 概念 的 夹杂 ， 造 成 了 混乱 。 现 代 
媒体 充斥 着 各 种 缩 略语 , 如 CDMA, GSM, TDMA, 802.11, WAP, 3G, GPRS 和 Bluetooth 
等 。 实 际 上 无 线 网 络 技术 分 为 无 线 蜂窝 网 络 技 术 和 无 线 数据 网 络 技术 两 类 。 


和 1 无线 网 络 面临 的 安全 威胁 


1. 窃听 

无 线 网 络 易 遭受 匿名 黑客 的 攻击 ， 攻 击 者 可 以 截获 无 线 电信 号 并 解析 出 数据 。 用 于 
无 线 窃听 的 设备 与 用 于 无 线 网 络 接 入 的 设备 相同 ， 这 些 设 备 经 过 很 小 的 改动 就 可 以 被 设 
置 成 截获 特定 无 线 信道 或 频率 的 数据 的 设备 。 这 种 攻击 行为 几乎 不 可 能 被 检测 到 。 通 过 
使 用 天 线 ， 攻 击 者 可 以 在 距离 目标 很 远 的 地 方 进行 攻击 。 窃 听 主 要 用 于 收集 目标 网 络 的 
信息 ， 包 括 谁 在 使 用 网 络 、 能 访问 什么 信息 及 网 络 设备 的 性 能 等 。 很 多 常用 协议 通过 明 
文 传送 用 户 名 和 密码 等 敏感 信息 ， 使 攻击 者 可 以 通过 截获 数据 获得 对 网 络 资源 的 访问 。 
即使 通信 被 加 密 ， 攻 击 者 仍 可 以 收集 加 密 信息 用 于 以 后 的 分 析 。 很 多 加 密 算法 如 微软 
的 NTLM) 很 容易 被 破解 。 如 果 攻 击 者 可 以 连接 到 无 线 网 络 上 ,他 还 可 以 使 用 ARP 欺骗 
HET EAA. ARP 欺骗 实际 上 是 一 种 作用 在 数据 链 路 层 的 中 间 人 攻击 ， 攻 击 者 通过 给 
目标 主机 发 送 欺 骗 ARP 数据 包 来 旁 路 通信 。 当 攻击 者 收 到 目标 主机 的 数据 后 ， 再 将 它 转 
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发 给 真正 的 目标 主机 。 这样, 攻击 者 可 以 窃听 无 线 网 络 或 有 线 网 络 中 主机 间 的 通信 数据 。 


2. 通信 阻 断 

有 意 或 无 意 的 干扰 源 可 以 阻 断 通 信 。 对 整个 网 络 进行 Dos 攻击 可 以 造成 通信 阻 断 ， 
使 包括 客户 端 和 基站 在 内 的 整个 区 域 的 通信 线路 堵塞 ， 造 成 设备 之 间 不 能 正常 通信 。 针 
对 无 线 网 络 的 DoS 攻击 则 很 难 预 防 。 此 外 ， 大 部 分 无 线 网 络 通信 都 采用 公共 频段 ， 很 容 
易 受 到 来 自 其 他 设备 的 干扰 。 攻 击 者 可 以 采用 客户 端 阻 断 和 基站 阻 断 方式 来 阻 断 通 信 。 
攻击 者 可 能 通过 客户 端 阻 断 占用 或 假冒 被 阻 断 的 客户 端 ， 也 可 能 只 是 对 客户 端 发 动 DoS 
攻击 ; 攻击 者 可 能 通过 基站 阻 断 假冒 被 阻 断 的 基站 。 如 前 所 述 ， 有 很 多 设备 (如 无 强 电 
话 、 无 线 集群 设备 ) 都 采用 公共 频段 进行 通信 ， 它 们 都 可 以 对 无 线 网 络 形成 干扰 。 所 以 ， 
在 部 署 无 线 网 络 前 ， 电 信 运 营 商 一 定 要 进行 站 点 调查 ， 以 验证 现 有 设备 不 会 对 无 线 网 络 
形成 干扰 。 


3. 数据 的 注入 和 自 改 

黑客 通过 向 已 有 连接 中 注入 数据 来 截获 连接 或 发 送 恶意 数据 和 命令 。 攻 击 者 能 够 通 
过 向 基站 插入 数据 或 命令 来 自 改 控制 信息 ， 造 成 用 户 连 接 中 断 。 数 据 注入 可 被 用 做 DoS 
攻击 。 攻 击 者 可 以 向 网 络 接 入 点 发 送 大 量 连接 请 求 包 ， 使 接 入 点 用 户 连接 数 超标 ， 以 此 
造成 接 入 点 拒绝 合法 用 户 的 访问 。 如 果 上 层 协议 没有 提供 实时 数据 完整 性 检测 ， 在 连接 
中 注入 数据 也 是 可 能 的 。 


4. 中 间 人 攻击 

中 间 人 攻击 与 数据 注入 攻击 类 似 ， 所 不 同 的 是 它 可 以 采取 多 种 形式 ， 主 要 是 为 了 破 
坏 会 话 的 机 密 性 和 完整 性 。 中 间 人 攻击 比 大 多 数 攻击 更 复杂 ， 攻 击 者 需要 对 网 络 有 深入 
的 了 解 。 攻 击 者 通常 伪装 成 网 络 资源 ， 当 受害 者 开始 建立 连接 时 ， 攻 击 者 会 截取 连接 ， 
并 与 目的 端 建立 连接 ， 同 时 将 所 有 通信 经 攻击 主机 代理 到 目的 端 。 这 时 ， 攻 击 者 就 可 以 
注入 数据 、 修 改 通 信 数 据 或 进行 窃听 攻击 。 


5. 客户 端 伪装 

通过 对 客户 端的 研究 ， 攻 击 者 可 以 模仿 或 克隆 客户 端的 身份 信息 ， 以 试图 获得 对 网 
络 或 服务 的 访问 。 攻 击 者 也 可 以 通过 窃取 的 访问 设备 来 访问 网 络 。 要 保证 所 有 设备 的 物 
理 安 全 非常 困难 ， 当 攻击 者 通过 窃取 的 设备 发 起 攻击 时 ， 通 过 第 2 层 访问 控制 手段 来 限 
制 对 资源 的 访问 (如 蜂窝 网 采用 的 通过 电子 序列 码 或 WLAN 采用 的 MAC 地 址 验证 等 手 
段 ) 都 将 失去 作用 。 


6. 接 入 点 伪装 

高 超 的 攻击 者 可 以 伪装 接 入 点 。 客 户 端 可 能 在 未 察觉 的 情况 下 连接 到 该 接 入 点 ， 并 
泄漏 机 密 认证 信息 。 这 种 攻击 方式 可 以 与 上 面 描述 的 接 入 点 通信 阻 断 攻击 方式 结合 起 来 
使 用 。 


7. 匿名 攻击 
攻击 者 可 以 隐藏 在 无 线 网 络 履 盖 的 任何 角落 ， 并 保持 匿名 状态 ， 这 使 定位 和 犯罪 调 
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查 变 得 异常 困难 。 一 种 常见 的 匿名 攻击 称 为 沿街 扫描 (War Driving)， 指 攻击 者 在 特定 的 
区 域 扫描 并 寻找 开放 的 无 线 网 络 。 这 个 名 称 来 自 一 种 古老 的 拨号 攻击 方式 一 一 沿街 扫描 ， 
即 通过 拨打 不 同 的 电话 号 码 来 查找 Modem 或 其 他 网 络 入 口 。 值 得 注意 的 是 ， 许 多 攻击 
者 发 动 匿名 攻击 不 是 为 了 攻击 无 线 网 络 本 身 ， 只 是 为 了 找到 接 入 Intemet 并 攻击 其 他 机 
器 的 跳板 。 因 此 ， 随 着 匿名 接 入 者 的 增多 ， 针 对 Intemet 的 攻击 也 会 增加 。 


8. 客户 端 对 客户 端的 攻击 

在 无 线 网 络 上 ， 一 个 客户 端 可 以 对 另 一 客户 端 进行 攻击 。 没 有 部 署 个 人 防火 墙 或 进 
行 加 固 的 客户 端 如 果 受 到 攻击 ， 很 可 能 会 泄漏 用 户 名 和 密码 等 机 密 信 息 。 攻 击 者 可 以 利 
用 这 些 信息 获得 对 其 他 网 络 资源 的 访问 权限 。 在 对 等 模式 下 ， 攻 击 者 可 以 通过 发 送 伪造 
路 由 协议 报 文 以 产生 通路 循环 来 实施 拒绝 服务 攻击 ， 或 者 通过 发 送 伪造 路 由 协议 报 文生 
成 黑洞 (吸收 和 扔 掉 数 据 报 文 ) 来 实现 各 种 形式 的 攻击 。 


9. 隐匿 无 线 信道 

网 络 的 部 署 者 在 设计 和 评估 网 络 时 ， 需 要 考虑 隐匿 无 线 信道 的 问题 。 由 于 硬件 无 线 
接 入 点 的 价格 逐渐 降低 ， 以 及 可 以 通过 在 装 有 无 线 网 卡 的 机 器 上 安装 软件 来 实现 无 线 接 
入 点 的 功能 ， 隐 匿 无 线 信道 的 问题 日 趋 严重 。 网 络 管理 员 应 该 及 时 检查 网 络 上 存在 的 一 
些 设 置 有 问题 或 非法 部 署 的 无 线 网 络 设备 。 这 些 设 备 可 以 在 有 线 网 络 上 制造 黑客 入 侵 的 
后 门 ， 使 攻击 者 可 以 在 离 网 络 很 远 的 地 点 实施 攻击 。 


10. 服务 区 标志 符 的 安全 问题 

服务 区 标志 符 (SSID) 是 无 线 接 入 点 用 于 标识 本 地 无 线 子 网 的 标志 符 。 如 果 一 个 客 
户 端 不 知道 服务 区 标志 符 ， 接 入 点 会 拒绝 该 客户 端 对 本 地 子 网 的 访问 。 当 客户 端 连接 到 
接 入 点 上 时 ， 服 务 区 标志 符 的 作用 相当 于 一 个 简单 的 口令 ， 起 到 一 定 的 安全 防护 作用 。 
如 果 接 入 点 被 设置 成 对 SSID 进行 广播 ， 那 么 所 有 的 客户 端 都 可 以 接收 到 它 并 用 其 访问 
KAMA. 而且, 很 多 接 入 点 都 采用 出 厂 时 默认 设置 的 SSID 值 , 黑客 很 容易 通过 Internet 
查 到 这 些 默 认 值 。 黑 客 获 取 这 些 SSID 值 后 ， 就 可 以 对 网 络 实施 攻击 。 因 此 ，SSID 不 能 
作为 保障 安全 的 主要 手段 。 

11. 漫游 造成 的 问题 

无 线 网 络 与 有 线 网 络 的 主要 区 别 在 于 无 线 终端 的 移动 性 。 在 CDMA、GSM 和 无 线 
以 太 网 中 ， 漫 游 机 制 都 是 相似 的 。 很 多 TCP/IP 服务 都 要 求 客户 端 和 服务 器 的 IP 地 址 保 
持 不 变 , 但 是 ， 当 用 户 在 网 络 中 移动 时 ， 不 可 避免 地 会 离开 一 个 子 网 而 加 入 另 一 个 子 网 ， 
这 就 要 求 无 线 网 络 提供 漫游 机 制 。 移 动 IP 的 基本 原理 在 于 地 点 注册 和 报 文 转发 ， 一 个 与 
地 点 无 关 的 地 址 用 于 保持 TCP/IP 连接 , 而 另 一 个 随地 点 变化 的 临时 地 址 用 于 访问 本 地 网 
络 资源 。 在 移动 IP 系统 中 ， 当 一 个 移动 节点 漫游 到 一 个 网 络 时 ， 就 会 获得 一 个 与 地 点 有 
关 的 临时 地 址 ， 并 注册 到 外 地 代理 上 ; 外 地 代理 会 与 所 属地 代理 联系 ， 通 知 所 属地 代理 
有 关 移 动 节点 的 接 入 情况 。 所 属地 代理 将 所 有 发 往 移动 节点 的 数据 包 转 发 到 外 地 代理 上 。 
这 种 机 制 会 带 来 一 些 问题 : 首先， 攻击 者 可 以 通过 对 注册 过 程 的 重 放 来 获取 发 送 到 移动 
节点 的 数据 ， 其 次 ， 攻 击 者 也 可 以 模拟 移动 节点 以 非法 获取 网 络 资源 。 
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12 “无 线 蜂 窝 网 络 的 安全 性 


11.2.1 GSM 的 安全 性 


1. GSM 网 络 体系 结构 

如 图 11-1 Aras, GSM 网 络 体系 结构 一 共 由 8 部 分 组 成 ， 各 部 分 的 功能 如 下 : 

(1) 带 有 SIM (Subscriber Identity Module) 卡 的 移动 设备 。SIM FÆRA 32 一 64KB 
EEPROM 存储 空间 的 微 处 理智 能 卡 。SIM 卡 上 存储 了 各 种 机 密 信息 ， 包 括 持 卡 人 的 身份 
信息 及 加 密 和 认证 算法 等 。 

(2) 基站 收发 信 台 (BTS)。 基 站 收发 信 台 负责 移动 设备 与 无 线 网 络 之 间 的 连接 。 每 
个 蜂窝 站 点 有 一 个 基站 收发 信人 台 。 

G) 基站 控制 器 (BSC)。 基 站 控制 器 管理 着 多 个 基站 收发 信 台 。 它 的 主要 功能 是 频 
率 分 配 和 管理 , 同时 在 移动 用 户 从 一 个 蜂窝 站 点 移动 到 另 一 个 蜂窝 站 点 时 处 理 交 接 工 作 。 
基站 收发 信 台 和 基站 控制 器 组 成 了 基站 子 系统 (BSS)。 

(4) 移动 交换 中 心 (MSC)。 移 动 交换 中 心 管理 着 多 个 基站 控制 器 ， 同 时 它 还 提供 
到 有 线 电信 网 络 的 连接 。MSC 管理 着 移动 用 户 与 有 线 网 络 的 通信 ， 同 时 它 还 负责 不 同 
BSC 之 间 的 交接 工作 。 

(5) 认证 中 心 (AuC)。 认 证 中 心 对 SIM 卡 进行 认证 。 

(6) 归属 位 置 登记 数据 库 (HLR)。HLR 是 在 归属 网 络 上 用 来 存储 和 跟踪 接 入 者 信 
息 的 数据 库 ， 保 存 了 用 户 登 记 信息 和 移动 设备 信息 ， 如 国际 移动 用 户 身份 证 明 (IMSI) 
和 移动 用 户 ISDN (MSISDN) 等 。 根 据 用 户 的 数量 ， 一 个 单独 的 GSM 运营 商 可 能 有 多 
个 不 同 的 HLR。 
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(7) 访问 位 置 登记 数据 库 (VLR)。VLR 是 用 于 跟踪 漫游 到 归属 位 置 以 外 的 用 户 信 
息 的 数据 库 ，VLR 也 会 保存 漫游 用 户 的 IMSI 和 MSISDN 信息 。 当 用 户 漫游 时 ，VLR 会 
跟踪 该 用 户 并 把 电话 转 接 到 该 用 户 的 手机 上 。 

(8) 运营 中 心 (OMC)。OMC 负责 整个 GSM 网 络 的 管理 和 性 能 维护 。OMC 与 BSS 
All MSC 通信 ， 通 常 通过 X.25 网 络 连接 。 


2. GSM 的 安全 性 

GSM 的 安全 基于 对 称 密 钥 的 加 密 体系 。GSM 主要 使 用 了 3 种 加 密 算法 : 

(1) A3: 一 种 用 于 移动 设备 到 GSM 网 络 认证 的 算法 。 

(2) AS/1 或 者 A5/2: 用 于 认证 成 功 后 加 密语 音 和 数据 的 分 组 加 密 算法 。A5/1 主要 
用 于 西欧 ，A5/2 主要 用 于 其 他 一 些 地 区 。 

G) A8: 一 种 用 于 产生 对 称 密 钥 的 密 钥 生成 算法 。 

A3 和 A8 通常 被 称 为 COMP128。 

GSM 采用 的 加 密 算法 由 GSM 成 员 国 开发 , 并 没有 经 第 三 方 检查 或 分 析 。 由 于 GSM 
采取 了 一 种 机 密 的 检查 机 制 ， 算 法 本 身 的 强度 引起 了 多 方 质疑 。 最 早 的 安全 架构 创建 于 
20 世纪 90 年 代 ， 那 时 ，64b 的 密 钥 长 度 已 足够 。 但 是 随 着 计算 能 力 的 提高 ，64b 的 密 钥 
已 经 越 来 越 无 法 抵御 强力 攻击 。 

GSM 安全 架构 中 的 第 一 步 是 认证 : 确认 一 个 用 户 和 他 的 移动 设备 是 经 过 授权 而 访问 
GSM 网 络 的。 因为 SIM 卡 和 移动 网 络 具 有 相同 的 加 密 算法 和 对 称 密 钥 ， 二 者 之 间 可 以 
据 此 建立 信任 关系 。 在 安全 的 移动 设备 中 ， 这 些 信息 存储 在 SIM 卡 中 。 

SIM 中 的 信息 由 运营 商定 制 ， 包 括 加 密 算法 、 密 钥 、 协 议 等 ， 通 过 零售 商 分 发 到 用 
户 手中 。 有 两 种 SIM E, 一 种 是 只 有 3KB 内 存 ; 另 一 种 有 8KB 内 存 ， 可 以 存储 短 消息 。 

新 购买 的 SIM 卡 中 有 如 下 信息 : 

a) 移动 用 户 身份 标识 〈IMSI)， 相 当 于 一 串 电 子 注 册 码 。 

(2) 单个 用 户 认 证 密 钥 ( K, )，128b 长 。 

(3) A3 和 A8 算法 。 

(4) 用 户 PIN 码 。 

(5) PIN 解锁 码 (PUK)， 只 有 用 户 在 忘记 PIN 码 时 才 需 要 使 用 。 

根据 运营 商 提 供 的 服务 内 容 ， 用户 还 可 以 在 SIM 卡 里 存储 电话 号 码 和 短 消息 。MSC 
也 保存 着 A3，A5 和 A8 算法 的 副本 ， 通 常 是 存储 在 硬件 设备 里 。 

3. GSM 认证 过 程 

由 于 IMSI 是 独一无二 的 ,攻击 者 能 够 用 它 来 非法 克隆 SIM 卡 ,所 以 应 尽量 减少 IMSI 
在 电波 中 传播 的 次 数 。IMSI 仅 在 初次 接 入 或 VLR 中 的 数据 丢失 时 使 用 。 在 认证 时 ， 采 
用 临时 用 户 身份 标识 (TMSI) 来 代替 IMSI- 

当 一 个 手机 用 户 开 始 拨 打 电 话 时 ，GSM 网 络 的 VLR 会 认证 用 户 的 身份 。VLR 会 立 
刻 与 HLR 建立 联系 ，HLR 从 Auc 获取 用 户 信息 。 这 些 信 息 会 转发 到 VLR E, GSMA 
证 与 加 密 过 程 如 图 11-2 所 示 ， 下 面 的 过 程 随 之 开始 : 
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(1) 基站 产生 一 个 128b 的 随机 数 或 挑战 值 (RAND)， 并 把 它 发 给 手机 。 

(2) 手机 使 用 A3 算法 和 密 钥 右 将 RAND WME, 产生 一 个 32b 的 签名 回应 (SRES ) 。 

(3) 同时 ，VLR 也 计算 出 SRES 值 ， 因 为 VLR 知晓 Ka RAND 和 A3. 

(4) 手机 将 SRES 传输 到 基站 ， 基 站 将 其 转发 到 VLR。 

(5) VLR 将 收 到 的 SRES 值 与 算出 的 SRES 值 对 照 。 

(6) WF SRES 值 相符 ， 认 证 成 功 ， 用 户 可 以 使 用 网 络 。 

(7) 如 果 SRES 值 不 符 ， 连 接 中 止 ， 错 误 信 息 报告 到 手机 上 。 

这 个 简单 过 程 有 以 下 两 点 好 处 : 

(1) 始终 保持 在 本 地 。 认 证 密 钥 是 整个 认证 过 程 中 最 重要 的 元 素 ， 确 保 认 证 密 钥 
的 安全 尤为 关键 。 在 上 面 的 认证 模型 当中 ，K; 始终 不 通过 空中 传播 ， 这 样 就 不 会 被 中 途 
RR. Ki RIRE SIM 卡 、AuC、HLR 和 VLR 数据 库 中 ，SIM 卡 也 是 防 算 改 的 ， 网 络 
管理 员 可 以 通过 限制 对 这 些 数据 库 的 访问 使 及 被 暴露 的 威胁 最 小 化 。 

(2) 防 强 力 攻 击 。 一 个 128b 的 随机 数 意味 着 3.4x10” 种 可 能 组 合 。 即 使 一 个 黑客 知 
道 A3 算法 ， 猜 出 有 效 的 RAND/SRES 的 可 能 性 也 非常 小 。 


微波 链 路 
移动 设备 。 空中 接口 访问 网 络 /VLR pase 所 属地 网 络 /HLR 


TMSI-IMSI 提供 认证 信息 
TMSI 映射 IMSI RAND K, 
A3+A8 
认证 信息 


OUT | ”认证 请 求 ”存储 | RAND,SRES,K。 
存储 | RAND 认证 信息 
认证 信息 SRES 


认证 响应 
SRES | 
加 密 模式 命令 
开始 加 密 


11-2 GSM 认证 与 加 密 过 程 


4. GSM 的 保密 性 

在 成 功 的 认证 后 ，GSM 网 络 和 手机 会 完成 加 密 信道 的 建立 过 程 。 首 先 需要 产生 一 个 
加 密 密 钥 ， 然 后 该 加 密 密 钥 被 用 来 加 密 整个 通信 过 程 。 加 密 连 接 建 立 的 具体 过 程 如 下 : 

(1) SIM 卡 将 RAND 与 KK 结合 在 一 起 ,通过 Ag 算法 生成 一 个 64b 的 会 话 密 钥 天 o 

(2) GSM 网 络 也 采用 相同 的 RAND 和 KK 计算 出 相同 的 会 话 密 钥 KK o 

(3) 通信 双方 采用 K, 与 AS 算法 ， 对 手机 与 GSM 网 络 之 间 的 通信 数据 进行 加 密 。 

会 话 密 钥 也 可 重复 使 用 ， 这 样 会 提高 网 络 的 性 能 并 减 小 因 加 密 而 产生 的 延迟 。 最 后 
的 步骤 中 包含 用 户 的 身份 信息 ， 这 是 实时 记 账 所 必需 的 。 从 上 面 的 过 程 中 可 以 看 出 ， 用 
户 认证 通过 KA IMSI 两 个 值 来 实现 。 因 此 ， 必 须 确保 这 两 个 值 不 被 泄漏 。 
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5. GSM 的 安全 缺陷 

在 GSM 网 络 中 ， 主 叫 用 户 和 被 叫 用 户 通信 时 信号 所 经 由 的 链 路 如 图 11-3 所 示 。 从 
图 中 可 以 看 出 ， 除 无 线 链 路 被 加 密 之 外 ， 基 站 到 移动 交换 中 心 的 微波 连接 和 骨干 网 传输 
线路 并 未 加 密 。 归 纳 起 来 ，GSM 的 安全 缺陷 有 以 下 几 点 。 

(1) GSM 标准 仅 考虑 了 移动 设备 与 基站 之 间 的 安全 问题 , 而 基站 和 基站 之 间 没 有 设 
置 任何 加 密 措施 ， 因 此 K, 和 SRES 在 网 络 中 以 明文 传输 ， 给 黑客 窃听 带 来 了 便利 。 

(2) 天 的 长 度 是 48bp， 用 户 截取 RAND 和 SRES 后 很 容易 破译 大 ， 而 天 一 般 固定 
不 变 ， 使 SIM 卡 的 复制 成 为 可 能 。 

G) 单 向 身份 认证 ， 网 络 认 证 用 户 ， 但 用 户 不 认证 网 络 ， 无 法 防止 伪造 基站 和 HLR 
的 攻击 。 

(4) 缺乏 数据 完整 性 认证 。 

G) 当 用 户 从 一 个 蜂窝 小 区 进入 另 一 个 蜂窝 小 区 进行 漫游 时 ， 存 在 跨 区 切换 。 在 跨 
区 切换 的 过 程 中 ， 有 可 能 泄漏 用 户 的 秘密 信息 。 

(6) 用 户 无 法 选择 安全 级 别 。 


r: 微波 链 路 
射频 信号 k 


主 叫 设备 (加 密 ) ”基站 收发 信 台 固定 网 络 


主 叫 设备 所 在 域 
被 叫 设备 所 在 域 网 关 
A NG 
eye v 固定 网 络 数据 库 
Ñ 射频 信号 A (未 加 密 ) 


被 叫 设备 (加 密 ) ”基站 收发 信人 台 
11-3 未 经 加 密 的 内 部 链 路 


11.2.2 CDMA 的 安全 性 


CDMA 网 络 的 安全 性 同样 也 建立 在 对 称 密 钥 体系 架构 上 。 除 了 CDMA 用 防 算 改 的 
UIM (User Identity Module) 卡 代替 了 GSM 的 SIM 卡 外 , 其 保密 与 认证 架构 大 致 与 GSM 
相同 。 

CDMA 手机 使 用 64b 的 对 称 密 钥 〈 称 为 A-Key) 来 进行 认证 。 在 出 售 时 ， 这 个 密 钥 
被 用 程序 输入 到 手机 的 UIM FA, 同时 也 由 运营 商 保存 。 手 机 内 的 软件 算出 一 个 校 验 值 ， 
以 确保 A-Key 被 正确 地 输入 到 UIM 卡 中 。 

1. CDMA 认证 

当 用 手机 打 电 话 时 ，CDMA 网 络 的 VLR 对 用 户 进行 认证 。CDMA 网 络 使 用 一 种 称 


302 


es 第 11 章 无 线 网 络 安全 oo 


为 蜂窝 认证 和 语音 加 密 〈CAVE) 的 算法 。 
为 了 最 小 化 A-Key 被 截取 的 风险 ，CDMA 手机 采用 一 种 基于 A-Key 的 动态 生成 数 
来 进行 认证 。 该 值 称 为 共享 密 钥 (SSD), CAVE 


算法 如 图 11-4 所 示 ， 由 3 个 数值 计算 得 出 : 
(1) 用 户 的 A-Key。 AKo lJ cave | 882-4 
(2) 手机 的 电子 序列 号 (ESN). SSD:B 
(3) 一 个 随机 数 RAND。 RAND 
这 3 个 数值 通过 CAVE 算法 产生 两 个 64b 杂 iia GNERE 


tH SSD A 和 SSD B。SSD A 用 于 认证 , 而 
SSD_B 用 于 加 密 。SSD_A 等 同 于 GSM 的 SRES, SSD_B 等 同 于 GSM 的 KK.。 

当 移 动用 户 处 于 漫游 状态 时 ，SSD_A 和 SSD_B 以 明文 方式 从 用 户 的 归属 网 络 传输 
到 当前 的 访问 网 络 中 。 这 会 造成 安全 威胁 ， 因 为 黑客 可 以 通过 截获 SSD 值 来 克隆 手机 。 
为 了 预防 这 种 攻击 ， 手 机 和 网 络 使 用 一 个 同步 的 通话 计数 器 。 每 当 手 机 和 网 络 建立 新 的 
通话 时 ， 计 数 器 就 会 更 新 。 这 样 就 能 够 检测 到 计数 器 没有 更 新 的 克隆 SSD. 

CDMA 的 认证 同样 建立 在 挑战 /响应 机 制 上 。 认 证 可 以 由 本 地 MSC 或 者 AuC 来 完成 。 
如 果 一 个 MSC 不 能 完成 CAVE 的 计算 ， 认 证 就 由 AuC 来 实现 。 如 图 11-5 所 示 ， 下 面 是 
CDMA 的 认证 步 又: 

(1) 移动 手机 拨 出 电话 。 

(2) MSC 从 归属 网 络 位 置 寄存 器 HLR) 获取 用 户 信息 。 

(3) MSC 产生 一 个 24b 的 随机 数 用 于 挑战 值 (RANDU). 

(4) RANDU 被 传输 到 手机 。 

(5) 手机 收 到 RANDU， 把 它 和 SSD_A, ESN 和 MIN 一 起 用 CAVE 生成 杂凑 值 ， 
得 到 18b 的 AUTHU。 

(6) 同时 ，MSC 通过 SSD A、ESN 和 MIN、CAVE 计算 出 自己 的 AUTHU。 

(7) 手机 将 AUTHU 传输 到 MSC. 

(8) MSC 将 自己 计算 出 的 AUTHU 与 接收 到 的 AUTHU 比较 ， 如 果 AUTHU 匹配 ， 
通话 继续 进行 ， 如 果 AUTHU 不 匹配 ， 通 话 中 止 。 


基站 | .| 移动 交 
控制 器 换 中 心 


AUTHU=CAVE(RANDU,ESN,MIN) 一 -一 ALTHU=CAVE(RANDU,ESN,MIN) 
11-5 CDMA 认证 


2. CDMA 的 保密 性 

CDMA 采用 与 GSM 类 似 的 语音 加 密 机 制 。 在 进行 认证 的 同时 ，CDMA 手机 也 完成 
了 以 下 工作 : 

A) 移动 手机 收 到 RAND, 将 它 与 SSD B、ESN 和 MIN 一 起 用 CAVE 生成 杂凑 值 ， 
得 到 18b 的 语音 隐私 掩 码 (Voice Privacy Mask, VPMASK). 
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(2) 同时 ，MSC 通过 SSD_B. ESN, MIN 和 CAVE 算出 自己 的 VPMASK。 

(3) VPMASK 用 于 手机 与 CDMA 网 络 之 间 的 语音 与 数据 加 密 。 

一 个 类 似 的 过 程 也 被 用 于 生成 64b 的 数据 加 密 密 钥 ， 称 为 信 令 消息 加 密 密 钥 
(Signaling Message Encryption Key, SMEKEY). 

虽然 CDMA 标准 允许 语音 通信 加 密 ， 但 是 CDMA 运营 商 并 不 总 是 提供 这 种 服务 ， 
因为 CDMA 采用 的 扩 频 技术 和 随机 编码 技术 本 身 就 比 GSM 采用 的 TDMA 技术 更 难 
破解 。 

与 GSM 一 样 ，CDMA 采用 的 加 密 算法 也 是 保密 的 ， 因 此 针对 CAVE 算法 的 攻击 很 
少 ,但 是 这 并 不 意味 着 CAVE 算法 本 身 就 是 安全 的 ， 在 理论 上 它 很 可 能 也 存在 着 漏洞 。 
幸运 的 是 ，CDMA 也 开始 逐渐 采用 公 钥 密码 体制 ， 这 样 会 大 大 提高 系统 的 安全 性 ， 同 时 
也 使 CDMA 运营 商 能 够 提供 更 多 的 移动 商务 服务 。 


1.23 3G 系统 的 安全 性 


1. 用 户 身份 保密 

为 了 达到 用 户 身份 保密 要 求 ,3G 系统 使 用 了 两 种 机 制 来 识别 用 户 身份 : 一 种 是 使 用 
临时 用 户 身份 标识 “TMSI); 另 一 种 是 使 用 加 密 的 永久 用 户 身 份 标识 (IMSI)。3G 系统 
也 要 求 用 户 不 能 长 期 使 用 同一 身份 。 另外 ,3G 系统 还 对 接 入 链 路 上 可 能 泄漏 用 户 身份 的 
信 令 信息 及 用 户 数据 进行 加 密 传送 。 为 了 保持 与 第 二 代 系统 的 兼容 ,3G 系统 也 允许 使 用 
非 加 密 的 IMSI。 

TMSI 具有 本 地 特征 ， 仅 在 用 户 登记 的 位 置 区 域 和 路 由 区 域内 有 效 。 在 此 区 域外 ， 
为 了 避免 混淆 ， 附 加 一 个 位 置 区 域 标识 LAI 或 路 由 区 域 标识 RAI. TMSI 与 IMSI 之 间 的 
关系 被 保存 在 用 户 注册 的 访问 位 置 寄存 器 VLR/SGSN 中 。TMSI 的 分 配 在 系统 初始 化 后 
进行 ， 如 图 11-6 所 示 。 

VLR 产生 新 的 身份 TMSI， 并 在 其 数据 库 中 存储 TMSI 和 IMSI 的 关系 。TMSI 应 该 
是 不 可 预测 的 。 然 后 VLR AGE TMSI 和 新 的 位 置 区 域 身份 LAI 给 用 户 。 一 旦 收 到 , 用户 
存储 TMSI 并 自动 地 删除 与 以 前 所 分 配 的 TMSI 的 关系 。 用 户 发 送 确认 信息 至 VLR; 一 
且 收 到 确认 ，VLR 即 从 其 数据 库 中 删除 旧 的 临时 身份 TMSI 和 IMSI 的 关系 。 

当 用 户 第 一 次 在 服务 网 注册 时 , 或 者 当 服 务 网 不 能 从 TMSI 重新 获得 IMSI 时 ,系统 
将 采用 永久 身份 机 制 ， 如 图 11-7 所 示 。 该 机 制 由 访问 网 络 的 VLR 发 起 ， 请 求 用 户 发 送 
它 的 永久 身份 ， 用 户 的 响应 中 包含 明文 的 IMSI。 


TMSI 分 配 命令 


用 户 TMSIn,LAIn VLR/SGSN 用 户 用 户 身份 请 求 VLR/SGSN 


TMSI 分 配 完成 MATHAN 


K 11-6 TMSI 的 分 配 11-7 永久 身份 机 制 


2. 认证 与 密 钥 协商 
3G 系统 沿用 了 GSM 的 认证 方法 ， 并 对 其 做 了 改进 。WCDMA 系统 使 用 5 参数 的 认 
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证 向 量 AV=RAND||XRES||CK||IK||AUTN 进行 双向 认证 。3G 系统 认证 执行 AKA 认证 密 
钥 协商 协议 ， 认 证 过 程 如 图 11-8 所 示 ， 具 体 步骤 如 下 : 

(1) MS—VLR: IMSI，HLR。 

(2) VLR—HLR: IMSI. 

(3) HLR>VLR: AV=RAND)|XRES||CK(|IK||AUTN. 

(4) VLR-MS: RAND||AUTN. 

(5) MS—VLR: RES. 

VLR 收 到 移动 用 户 MS 的 注册 请 求 后 ， 向 ALR 发 送 该 用 户 的 IMSI， 请 求 对 该 用 户 
进行 认证 。HLR 收 到 VLR 的 认证 请 求 后 ， 生 成 序列 号 SQN 和 随机 数 RAND， 计 算 认 证 
向 量 AV 并 发 送 给 VLR. VLR 接收 到 认证 向 量 后 ， 将 RAND 及 AUTN 发 送 给 MS， 请 
求 用 户 产生 认证 数据 。MS 接收 到 认证 请 求 后 ， 计 算 XMAC， 并 与 AUTN 中 的 MAC 比 
较 , GAL, 则 向 VLR 发 送 拒绝 认证 消息 , 并 放弃 该 过 程 。 同 时， MS 验证 接收 到 的 SQN 
是 否 在 有 效 的 范围 内 ， 若 不 在 有 效 的 范围 内 ，MS 则 向 VLR 发 送 “ 同 步 失败 ”消息 ， 并 
放弃 该 过 程 。 上 述 两 项 验证 通过 后 ，MS 计算 认证 响应 RES、 加 密 密 钥 CK 和 完整 性 密 
SH IK, HK RES 发 送 给 VLR. VLR 接收 到 来 自 MS 的 RES 后 ,将 RES 与 认证 向 量 AV 
中 的 KRES 进行 比较 ， 相 同 则 认证 成 功 ， 否 则 认证 失败 。 该 认证 过 程 达 到 了 如 下 安全 目 
标 : 实现 了 用 户 与 网 络 之 间 的 相互 认证 ; @ 建 立 了 用 户 与 网 络 之 间 的 会 话 密 钥 ; OR 
持 了 密 钥 的 新 鲜 性 。 


MS SN:VLR/SGSN HE:HLR 
认证 数据 请 求 
认证 向 量 AV 的 [产生 认证 向 量 AV(1…) | 
SN a 认证 数据 响应 AV(1…n) 


存储 认证 向 量 


选择 认证 向 量 AV(i) 
用 户 认证 请 求 
RAND(i) || AUTN(i) 
检验 AUTN(D) L 认证 与 密 钥 
计算 RES(i) 分 配 (建立 ) 


用 户 认证 响应 RES(i) 


比较 RES(i) 与 XRES(7) 


计算 CK(i) 与 IK(i) 选择 CK(i) 与 IK(i) | 一 
图 11-8 ”认证 与 密 钥 协商 过 程 


3. 接 入 链 路 数据 保护 
在 移动 用 户 MS 与 网 络 之 间 的 安全 通信 模式 建立 之 后 ， 所 有 发 送 的 消息 采用 两 种 安 
全 机 制 加 以 保护 : 中 数据 完整 性 机 制 ，@ 数 据 加 密 机 制 。 
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数据 完整 性 保护 如 图 11-9 所 示 。 为 完整 性 保护 算法 ， 为 完整 性 密 钥 , 长 为 128b; 
COUNT- 为 完整 性 序列 号 ， 长 为 32b; FRESH 为 网 络 方 产生 的 随机 数 ， 长 为 32b， 用 于 
防止 重 放 攻击 ;， MESSAGE 为 发 送 的 消息 ， DIRECTION 为 方向 位 ， 长 为 1b; MAC-I 为 
用 于 消息 完整 性 保护 的 消息 认证 码 。 接 收 方 计算 XMAC-I， 并 与 接收 到 的 MAC-I 比较 ， 
以 此 验证 消息 的 完整 性 。 

发 送 方 接收 方 
COUNT-I DIRECTION COUNT-I DIRECTION 
pee FRESH | FRESH 


Iy — to I 一 一 | h 
| | 
MAC-I XMAC-I 
图 11-9 消息 认证 码 的 产生 
数据 加 /解密 如 图 11-10 所 示 。 其 中 ， 为 加 密 算法 ，C 为 加 密 密 钥 ， 长 为 128b; 
COUNT-C 为 加 密 序列 号 ,长 为 32b; BEARER 为 负载 标识 ,长 为 Sb; DIRECTION XÙ 
H, KA lb; LENGTH 为 所 需 的 密 钥 流 长 度 ， 长 为 16b。 


发 送 方 接收 方 
COUNT-C DIRECTION COUNT-C DIRECTION 
| BEARER | LENGTH | BEARER | LENGTH 
Ci 一 一 | te Ci 一 一 te 
密 钥 流 密 钥 流 


明文 密 文 明文 


11-10 数据 加 /解密 


13 “无 线 数 据 网 络 的 安全 性 


11.3.1 有线 等 效 保密 协议 


IEEE 802.11b 标准 定义 了 一 个 加 密 协 议 : WEP (Wired Equivalent Privacy， 有 线 等 效 
保密 协议 )， 用 来 对 无 线 局 域 网 中 的 数据 流 提供 安全 保护 。 该 协议 采用 RC4 流 加 密 算法 ， 
能 提供 的 功能 主要 包括 : 


a) 访问 控制 一 一 防止 没有 WEP 密 钥 的 非法 用 户 访问 网 络 。 

(2) 保护 隐私 一 一 通过 加 密 手段 保护 无 线 局 域 网 上 传输 的 数据 。 

1. WEP 加 密 过 程 

WEP 加 密 过 程 如 图 11-11 所 示 。 从 图 中 可 以 看 出 ， 在 对 明文 数据 的 处 理 上 采用 了 两 
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种 运算 : 一 是 对 明文 进行 的 流 加 密 运 算 ( 即 异 或 运算 ); 二 是 为 防止 数据 被 非法 算 改 而 进 
行 的 数据 完整 性 检查 向 量 (ICV) 运算 。 

(1) 40b 的 加 密 密 钥 与 24b 的 初始 向 量 CIV) 结合 在 一 起 ， 形 成 64b 长 度 的 密 钥 。 

(2) 生成 的 64b 密 钥 被 输入 到 伪 随 机 数 生成 器 (PRNG) 中 。 

G) 伪 随 机 数 生成 器 输出 一 个 伪 随 机 密 钥 序列 。 

(4) 生成 的 序列 与 数据 进行 位 异 或 运算 ， 形 成 密 文 。 

为 了 保证 数据 不 被 非法 算 改 ， 一 种 完整 性 算法 (CRC32) 会 应 用 在 明文 上 ， 生 成 
32b 的 ICV。 明 文 与 32b 的 ICV 合并 后 被 加 密 ， 密 文 与 IV 一 起 被 传输 到 目的 地 。 


= 一 | 初始 向 量 
a 一 | 
初始 向 量 一 一 | a | AL | 伪 随机 数 ain 

ie 并 生成 器 [EPM EX 

一 | 或 一 
明文 
一 一 完整 性 算法 并 | 
ICV 
图 11-11 WEP 加 密 过 程 

2. WEP 解密 过 程 


WEP 解密 过 程 如 图 11-12 所 示 。 为 了 对 数据 流 进 行 解密 ，WEP 进行 如 下 操作 : 


= 输入 
密 钥 — 合 伪 随 机 数 | ，， a > 
生成 器 | 密 钥 序列 明文 
初始 向 量 < 


一 一 | 或 


完整 性 算法 LS 
中 ICV > 
密 文 


11-12 WEP 解密 过 程 


A) 接收 到 的 TV 被 用 来 产生 密 钥 序列 。 

(2) 加 密 数据 与 密 钥 序列 一 道 产 生 解密 数据 和 ICV. 

G) 解密 数据 通过 数据 完整 性 算法 生成 ICV。 

(4) 将 生成 的 ICV 与 接收 到 的 ICV 进行 比较 。 如 果 不 一 致 ， 将 错误 信息 报告 给 发 
送 方 。 

3. WEP 认证 方法 

一 个 客户 端 如 果 没 有 被 认证 ， 将 无 法 接 入 无 线 局 域 网 络 。 因 此 必须 在 客户 端 设置 认 
证 方式 ， 而 且 该 方式 应 与 接 入 点 采用 的 方式 兼容 。IEEE 802.11b 标准 定义 了 两 种 认证 方 
式 : 开放 系统 和 共享 密 钥 认 证 。 

(1) 开放 系统 认证 。 

开放 系统 认证 是 IEEE 802.11 协议 采用 的 默认 认证 方式 。 开 放 系 统 认证 对 请 求 认证 
的 任何 人 提供 认证 。 整 个 认证 过 程 通 过 明文 传输 完成 ， 即 使 某 个 客户 端 无 法 提供 正确 的 
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WEP 密 钥 ， 也 能 与 接 入 点 建立 联系 。 

(2) 共享 密 钥 认 证 。 

共享 密 钥 认证 采用 标准 的 挑战 /响应 机 制 ， 以 共享 密 钥 来 对 客户 端 进行 认证 。 该 认证 
方式 允许 移动 客户 端 使 用 一 个 共享 密 钥 来 加 密 数 据 。WEP 允许 管理 员 定义 共享 密 钥 。 没 


客户 端 接 入 点 有 此 共享 密 钥 的 用 户 将 被 拒绝 访问 。 用 于 加 密 和 解密 的 
密 钥 也 被 用 于 提供 认证 服务 ， 但 这 会 带 来 安全 隐患 。 与 
[| 开放 系统 认证 相 比 ， 共 享 密 钥 认证 方式 能 够 提供 更 好 的 
PM 认证 服务 。 如 果 一 个 客户 端 采用 这 种 认证 方式 ， 客 户 端 
| 一 一 | 必须 支持 WEP. WEP 认证 过 程 如 图 11-13 所 示 。 
挑战 回应 4. WEP 密 钥 管理 
| | 共享 密 钢 被 存储 在 每 个 设备 的 管理 信息 数据 库 中 。 
认证 确认 虽然 IEEE 802.11 标准 没有 指出 如 何 将 密 钥 分 发 到 各 个 
Lue | 设备 上 ， 但 它 提 到 了 两 种 解决 方案 : 
(1) 各 设备 和 接 入 点 共享 一 组 共 4 MERU 


O (2) 每 个 设备 与 其 他 设备 建立 密 铀 对 关系 。 

Be WEP EAE 第 一 种 方案 提供 了 4 个 密 钥 。 如 果 一 个 客户 端 获得 
了 这 些 默认 密 钥 ， 该 客户 端 就 可 以 与 整个 子 系统 的 所 有 设备 进行 通信 。 客 户 端 或 接 入 点 
可 以 采用 这 4 个 密 钥 中 的 任意 一 个 来 实施 加 密 和 解密 运算 。 这 种 方案 的 缺点 是 : 如果 默 
认 密 钥 被 广泛 分 发 ， 它 们 就 可 能 被 泄漏 。 

在 第 二 种 方案 中 ， 每 个 客户 端 都 要 与 其 他 所 有 设备 建立 一 个 密 钥 对 映射 表 ， 每 个 不 
同 的 MAC 地 址 都 有 一 个 不 同 的 密 钥 ， 且 知道 此 密 钥 的 设备 较 少 ， 因 此 这 种 方案 更 安全 。 
虽然 这 种 方案 减 小 了 受 攻击 的 可 能 性 ， 但 是 随 着 设备 数量 的 增加 ， 密 钥 的 人 工分 发 会 变 
得 很 困难 。 


11.3.2 802.1x 协议 介绍 


802.1x 协议 最 早 作为 有 线 以 太 网 络 的 标准 提出 ， 它 也 同样 适用 于 无 线 局 域 网 ， 为 认 
证 和 密 钥 分 发 提供 了 一 个 整体 框架 。 它 利用 了 很 多 拨号 网 络 的 安全 机 制 ， 为 每 个 用 户 和 
每 个 网 络 会 话 提供 了 独一无二 的 加 密 密 钥 , 同时 支持 128b 的 密 钥 长 度 。 它 还 包含 一 个 密 
钥 管 理 协 议 , 能 够 提供 密 钥 自动 生成 功能 。 密 钥 也 可 以 在 设 定 的 时 段 后 自动 改变 。802.1x 
也 支持 RADIUS 和 Kerberos 服务 , 通过 与 上 层 认 证 协议 一 起 使 用 , 可 提供 认证 和 密 钥 生 
成 功能 。 

在 802.1x 网 络 中 有 如 下 3 种 角色 : 

(1) 认证 者 : 在 802.11 网 络 中 ， 通 常 是 接 入 点 。 它 确保 认证 的 进行 ， 同 时 将 数据 路 
由 至 网 络 中 正确 的 接收 者 。 

(2) 认证 请 求 端 : 在 802.11 网 络 中 ， 通 常 是 客户 端 设 备 提出 认证 请 求 。 

(3) 认证 服务 器 (AS): 可 信 的 第 三 方 , 为 客户 端 提供 实际 的 认证 服务 , 通常 为 Radius 
认证 服务 器 。 
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802.1x 的 操作 可 以 通过 受 控 端 口 和 非 受 控 端 口 的 概念 来 说 明 。 受 控 端 口 和 非 受 控 端 
口 是 同 一 物理 端口 的 逻辑 划分 。 一 个 数据 帧 能 否 通过 接 入 点 路 由 到 受 控 端 口 或 非 受 控 端 
口 ， 取 决 于 客户 端的 认证 状态 。 如 图 11-14 所 示 ， 在 客户 端 通过 认证 服务 器 认证 前 ， 接 
入 点 只 允许 客户 端 与 认证 服务 器 通信 ， 只 有 在 被 认证 服务 器 认证 后 ， 客 户 端 才能 与 网 络 
上 的 其 他 设备 通信 。 


未 认证 端口 SEO 
~< 有 线 局 域 网 


(a) 认证 前 状态 


认证 后 端口 ” 受 控 端 吕 
i 有 线 局 域 网 
p=. : 
客户 端 BAR E] 
认证 


非 受 控 端 口 


服务 器 
(b) 认证 后 状态 
11-14 ”认证 前 状态 与 认证 后 状态 


实际 的 认证 数据 交互 过 程 由 上 层 的 认证 协议 实现 ， 认 证 的 协议 和 数据 的 转发 由 
802.1x 协议 控制 。 值 得 注意 的 是 ， 认 证 是 客户 端 与 服务 器 的 双向 认证 。 在 完成 认证 的 同 
时 ， 会 生成 物理 介质 访问 控制 层 (MAC) 的 加 密 密 钥 。802.1x 会 使 用 该 密 钥 在 接 入 点 和 
客户 端 之 间 进 行 加 密 。 在 802.1x 网 络 中 会 生成 两 种 密 钥 ， 一 种 是 会 话 密 钥 〈 也 称 为 双方 
使 用 的 密 钥 )， 另 一 种 是 群 密 钥 〈 也 称 为 群 内 使 用 密 钥 )。 群 密 钥 由 所 有 接 到 同一 接 入 点 
的 客户 端 共享 ， 主 要 用 于 多 播 。 而 会 话 密 钥 则 随 着 客户 端 和 接 入 点 的 连接 变化 而 变化 ， 
这 样 ， 在 客户 端 与 接 入 点 之 间 就 形成 了 专用 信道 。 


11.3.3 ”802.11i 标准 介绍 


802.11i 标准 针对 WEP 的 诸多 缺陷 加 以 改进 ， 增 强 了 无 线 局 域 网 中 的 数据 加 密 和 认 
证 性 能 。802.11i 规定 使 用 802.1x 的 认证 和 密 钥 管理 方式 。 在 数据 加 密 方面 ，802.11i 定 
义 了 临时 密 钥 完整 性 协议 〈TKIP)、 密 文 分 组 链接 模式 一 一 消息 认证 码 协 议 《CCMP) 两 
种 加 密 模式 。 其 中 ，TKIP 是 WEP 机 制 的 加 强 版 ， 它 采用 RC4 作为 核心 加 密 算 法 ， 可 以 
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从 WEP 上 平滑 升级 ， 而 CCMP 采用 AES 分 组 加 密 算 法 和 MAC 消息 认证 协议 ， 使 无 线 
局 域 网 的 安全 性 大 幅 提高 ， 但 是 由 于 与 现 有 无 线 网 络 不 兼容 ， 升 级 费用 很 高 。 


1. TKIP 加 密 模式 

与 WEP 相 比 ，TKIP 在 以 下 4 个 方面 得 到 了 加 强 : 

(1) 使 用 Michael 消息 认证 码 以 抵御 消息 伪造 攻击 。 

(2) 使 用 扩展 的 48b 初始 化 向 量 AV) 和 TV 顺序 规则 以 抵御 消息 重 放 攻 击 。 

G) 对 各 数据 包 采 用 不 同 密 钥 加 密 以 弥补 密 钥 的 脆弱 性 。 

(4) 使 用 密 钥 更 新 机 制 ， 提 供 新 鲜 的 加 密 和 认证 密 钥 ， 以 预防 针对 密 钥 重用 的 攻击 。 

TKIP 采用 48b 的 扩展 初始 向 量 ， 称 为 TKIP 序列 计数 器 CTSC). (EH 48b 的 TSC 
延长 了 临时 密 钥 的 使 用 寿命 ， 在 同一 会 话 中 不 必 重 新 生成 临时 密 钥 。 由 于 每 发 送 一 个 数 
据 报 , TSC 就 更 新 一 次 临时 密 钥 可 以 连续 使 用 2* 次 而 不 会 产生 密 钥 重 用 的 问题 , 在 一 个 
稳定 而 高 速 的 连接 中 ， 这 相当 于 要 过 100 年 才 会 产生 重复 密 钥 。 

TKIP 加 密 报 文 格式 如 图 11-15 所 示 。 


消息 完整 性 化 代码 
8B 


数据 完整 性 
数据 验证 码 4B 


初始 向 量 | 扩展 向 量 
4B 4B 


11-15 TKIP 加 密 报 文 格式 


TSC 由 WEP 初始 化 向 量 的 前 两 个 字 节 和 扩展 向 量 的 4B 构建 而 成 。TKIP WEP 加 
密 数据 报 的 长 度 扩 展 了 12B， 这 12B 分 别 是 来 自 扩展 向 量 的 4B 和 来 自 消 息 完整 性 代码 
MIC 的 8B。 

TKIP 的 封装 过 程 如 图 11-16 所 示 。 封 装 过 程 采 用 临时 密 钥 和 消息 认证 码 密 钥 ,这些 
密 钥 由 802.1x 中 产生 的 会 话 密 钥 生 成 。 临 时 密 钥 、 传 输 方 地 址 和 TSC 被 用 于 第 一 阶段 
的 密 钥 混 淆 过 程 ， 生 成 每 个 数据 报 所 用 的 加 密 密 钥 。 该 密 钥 的 长 度 为 128b， 被 分 成 一 个 
104b 的 RC4 加 密 密 钥 和 一 个 24b 的 初始 向 量 。 


临时 密 钥 一 =| 第 一 阶段 RC4 密 钥 
传输 方 地 址 l 窗 钥 混淆 | 单数 据 包 密 铀 
化 向 量 。 | WEP 加 密 | 窗 文 数据 报 


WEP 初 始 
TSC 封装 


消息 认证 码 密 钥 一 | 消息 认证 
源 地 址 * 目 的 地 -| m | .| 数据 分 片 
址 + 消息 明文 明文 数据 明文 数 

报 +MIC 据 报 


图 11-16 TKIP 的 封装 过 程 


消息 认证 码 使 用 数据 报 的 明文 及 源 、 目 的 MAC 地 址 生成 ， 这 样 ， 数 据 报 的 信息 随 
着 源 和 目的 MAC 地 址 的 改变 而 改变 ， 可 防止 数据 报 的 伪造 。 
消息 认证 码 使 用 称 为 Michael 的 单 向 杂 闭 函数 生成 , 而 非 采用 WEP 生成 数据 完整 性 
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检查 向 量 (ICV) 时 所 使 用 的 简单 的 CRC-32 函数 ,这 使 黑客 截取 和 算 改 数据 报 的 难度 加 
大 。 如 果 需 要 ， 数 据 报 可 以 分 片 ， 在 每 个 分 片 数据 报 输入 WEP 加 密 引 擎 之 前 ，TSC 都 
会 加 1。 

解密 过 程 和 加 密 过 程 类 似 。 在 从 收 到 的 数据 报 中 提取 TSC 后 ， 接 收 方 会 对 其 进行 检 
查 ,确保 它 比 先前 收 到 的 数据 报 的 TSC 大 ， 以 防止 重 放 攻 击 。 在 接收 到 并 解密 数据 报 生 
成 消息 完整 性 代码 (MIC) 后 ， 接 收 方 将 其 与 收 到 的 MIC 进行 比较 ， 以 确保 数据 报 没 有 
被 算 改 。 

2. CCMP 加 密 模式 

CCMP 提供 比 TKIP 更 强 的 加 密 模 式 ， 也 是 802.11i 规定 强制 采用 的 加 密 模式 。 它 采 
用 128b 的 分 组 加 密 算法 AES。AES 可 以 采用 多 种 模式 ， 而 802.11i 采用 计数 器 模式 和 密 
文 分 组 链接 -消息 认证 码 模式 。 计 数 器 模式 保证 了 数据 的 私密 性 ， 而 密 文 分 组 链接 -消息 
认证 码 模式 保证 了 数据 的 完整 性 和 认证 性 。 

图 11-17 为 CCMP 加 密 数 据 报 格式 。 该 数据 报 比 原始 数据 报 延 长 了 16B， 除 了 没有 
WEP 的 完整 性 检查 向 量 (ICV) 以 外 ， 它 的 格式 与 TKIP 的 数据 报 格式 相同 。 


初始 向 量 | 扩展 向 量 
4B 4B 


消息 完整 性 代码 
E 消息 完 时 性 代码 


11-17 CCMP 加 密 报 文 格式 


与 TKIP 相同 ，CCMP 也 采用 48b 的 初始 化 向 量 ， 称 为 数据 报 数 (PN)。 数 据 报 数 和 
其 他 信息 一 起 用 于 初始 化 AES 加 密 算法 ， 并 用 于 消息 验证 码 的 计算 和 数据 的 加 密 。 

图 11-18 显示 了 CCMP 封装 过 程 。 在 消息 验证 码 的 计算 和 数据 报 的 加 密 中 ，AES 采 
用 了 相同 的 临时 加 密 密 钥 。 与 TKIP 一 样 ， 临 时 密 钥 也 是 由 802.1x 交换 产生 的 主 密 钥 生 
成 的 。 


初始 向 量 64b | 64b 
i l 
AES Hil # || AES # }| AESM# py | AESMBhy| AESM# AES jl Æ 
ml ab LA LA LAL... 
代码 计算 es Y yY 
H iA 数据 帧 痰 ”|PN| 128b | 128b | 数据 | 128b 消息 完整 
数据 报 a ! 1 i= 性 代码 
TASAA | 计数 器 加 1 sa i da ak sa 
1 
AES 加 密 | ,|AES 加 密 | | AES 加 密 | || AES HZ 
加 密 过 程 A A 小 
<Ð P = 
| 9 一 中 
加 密 数据 报 | gE 区 128b bgb | 数据 | 128b | MRCERE | 数据 由 校 验 


11-18 CCMP 封装 过 程 
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MIC 的 计算 与 数据 报 的 加 密 同步 进行 。 在 MIC 的 计算 中 使 用 了 初始 化 向 量 (IV)， 
该 向 量 由 一 个 标志 值 、PN 和 数据 帧 头 的 某 些 部 分 组 成 。IV 在 注入 一 个 AES 分 组 后 的 输 
出 与 数据 帧 头 的 某 些 部 分 异 或 后 再 次 注入 另 一 个 AES 分 组 , 这 个 过 程 重复 下 去 生成 一 个 
128b 的 CBC-MAC 值 。 该 值 的 前 64b 被 取出 并 附加 到 密 文 数据 报 后 面 。 

计数 器 输入 也 由 PN、 一 个 标志 值 、 数 据 帧 头 的 某 些 部 分 和 一 个 初始 化 为 1 的 计数 器 组 
成 。 计 数 器 输入 被 注入 一 个 AES 分 组 加 密 盒 ， 输 出 与 128b 的 明文 异 或 ， 计 数 器 加 1 后 这 
个 过 程 继续 进行 ， 直 到 整个 数据 帧 被 加 密 。 最 后 计数 器 被 置 为 0， 输入 到 一 个 AES 分 组 加 
密 盒 ， 输 出 与 MIC 异 或 后 添加 到 加 密 数据 报 的 后 面 。 最 后 ， 将 全 部 加 密 数据 报 进行 传输 。 

CCMP 的 解密 过 程 基本 上 是 上 述 过 程 的 逆 过 程 。 最 后 一 步 是 将 计算 得 到 的 MIC 值 与 
收 到 的 MIC 值 进行 对 比 ， 以 证 明 数 据 没 有 被 算 改 。 

3. 上 层 认 证 协议 

802.11i 标准 并 没有 规定 上 层 采 用 的 认证 协议 ， 因 为 这 些 协议 作用 在 3 BUE, PE 
802.11 规定 的 范围 内 。 上 层 认 证 协议 主要 应 用 于 企业 网 络 ， 提 供 客户 端 和 服务 器 的 相互 
认证 功能 ， 并 生成 会 话 密 钥 用 于 数据 加 密 。 上 层 认 证 协议 与 802.1x 配合 使 用 ，802.1x 主 
要 用 于 确保 上 层 认 证 协议 的 使 用 及 正确 地 转发 消息 ， 而 上 层 认 证 协议 则 提供 实际 的 认证 
功能 。 很 多 企业 会 采用 Radius 服务 器 提供 认证 功能 。 最 流行 的 认证 协议 包括 : 具有 传输 
层 安 全 的 可 扩展 认证 协议 (EAP-TLS)、 受 保护 的 可 扩展 认证 协议 (PEAP)、 具 有 传输 层 
隧道 安全 的 可 扩展 认证 协议 C(EAP-TTLS) 和 轻 量 可 扩展 认证 协议 (LEAP). 

上 面 介绍 的 802.11i 的 各 个 组 成 部 分 应 当 作为 一 个 整体 来 部 署 , 任何 部 分 独立 使 用 时 
都 存在 着 自己 的 安全 缺陷 。 


11.3.4 802.16 标准 的 安全 性 


IEEE 802.16 标准 又 称 为 WiMAX (Worldwide Interoperability for Microwave Access )， 
是 一 种 为 企业 和 家 庭 用 户 提供 “最 后 一 千 米 接 入 ”的 宽带 无 线 连接 方案 。802.16 不 仅 是 
无 线 城 域 网 的 标准 ， 同 时 也 继 TD-SCDMA, WCDMA 和 CDMA2000 之 后 ， 成 为 第 4 个 
3G 标准 。 

802.16 标准 中 定义 了 安全 子 层 ， 通 过 对 客户 端 与 基站 之 间 的 无 线 信道 进行 加 密 ， 为 
客户 端 在 访问 无 线 城 域 网 时 提供 数据 的 保密 性 。 同 时 ， 通 过 增加 客户 端 与 基站 之 间 的 认 
证 ， 安 全 子 层 也 能 防止 非法 用 户 访问 ISP 所 提供 的 服务 。 

安全 子 层 中 又 包括 5 个 部 分 : 

(1) 安全 关联 (SA) 

安全 关联 (SA) 维护 着 一 个 连接 的 安全 状态 。802.16 使 用 了 两 种 SA， 但 只 特别 定 
义 了 数据 SA， 主 要 用 于 保护 客户 端 与 基站 间 的 传输 连接 。 

数据 安全 关联 包括 下 面 的 内 容 : 

e 一 个 16b 的 SA 标识 符 (SAID). 

e 用 于 加 密 数 据 的 加 密 算法 ， 该 标准 采用 的 是 密 文 分 组 链接 模式 的 DES 算法 。 

e 两 个 用 于 加 密 数 据 的 密 钥 (TEK)， 一 个 是 当前 使 用 的 密 钥 ， 另 一 个 是 当前 密 钥 
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过 期 后 将 使 用 的 密 钥 。 
两 个 2b 的 密 钥 标识 符 。 
TEK 的 生命 周期 。 默 认为 半天 ， 最 短 为 30 分 钟 ， 最 长 为 7 天 。 
每 个 TEK 的 初始 向 量 。 
SA 的 类 型 定义 。 主 SA 是 在 链 路 初始 化 时 建立 的 ; 静态 SA 是 在 基站 上 设 定 的 ; 
动态 SA 是 在 生成 动态 传输 连接 时 生成 的 。 
为 保证 传输 连接 的 安全 性 , 客户 端 会 使 用 create_connection 请 求 创建 一 个 初始 SA BL 
据 。 为 支持 多 播 ， 标 准 允许 多 个 连接 ID 共享 同一 个 SA。 在 网 络 连接 时 ，802.16 会 给 辅 
助 管理 信道 自动 创建 一 个 SA， 因此 一 个 客户 端 通常 有 两 个 或 3 个 SA， 一 个 用 于 辅助 管 
理 信道 , 另 一 个 同时 (或 两 个 分 别 ) 用 于 上 连 和 下 连 传输 连接 。 每 个 多 播 组 共享 一 个 SA。 
虽然 IEEE 802.16 标准 中 没有 明确 指出 SA 的 具体 格式 ， 但 是 它 应 包括 以 下 内 容 : 
e 一 个 用 于 验证 客户 端的 义 .509 证 书 。 
e 一 个 160b 的 授权 密 钥 (AK)。 客 户 端 正确 使 用 此 密 钥 意味 着 已 被 授权 使 用 该 
连接 。 
e 一 个 4b 的 授权 密 钥 标志 符 。 
e 一 个 AK 生命 周期 值 。 范 围 为 1~70 天 ， 默 认为 7 天 。 
e 一 个 用 于 密 钥 分 配 的 密 钥 加 密 密 钥 KEK (一 个 112b 的 3DES 密 钥 )，KEK= 
Truncate-128 (SHA-1 ((AK|0“) ©53%)), A, Truncate-128 (X) 表示 只 取 
X 的 前 128b, ab 意味 着 将 a 字符 串 和 b 字符 串 合 并 ，@ 表 示 异 或 ，a" 表示 将 数 
字 a 重复 n 次 ，SHA-1 为 标准 杂凑 算法 。 
。 一 个 基站 用 于 向 客户 端 认证 密 钥 分 发 信息 的 下 连 HMAC (基于 杂凑 函数 的 消息 
认证 码 ) 密 钥 ， 密 钥 由 公式 HMAC key=SHA-1 ((AK|0“) @34“ ) 生成 。 
。 一 个 客户 端 用 于 向 基站 认证 密 钥 分 发 信息 的 上 连 HMAC (基于 杂凑 函数 的 消息 
认证 码 ) 密 钥 ， 密 钥 由 公式 HMAC key= SHA-1 ((AK|0“) @5C% ) 生成 。 
e 一 个 已 授权 数据 SA 列表 。 
一 个 授权 SA 由 一 个 特定 客户 端 和 一 个 特定 基站 所 共享 。 标 准 中 建议 将 AK 作为 基 
站 和 客户 端的 共享 密 钥 ， 基 站 使 用 授权 SA 来 配置 客户 端的 数据 SA。 
(2) X.509 证 书 应 包括 的 内 容 
X.509 证 书 用 于 证 明 通 信 双 方 的 身份 。 标 准 中 定义 了 X.509 证 书 应 包括 下 述 内容 : 
© X.509 证 书 格式 第 3 版 。 
证 书 序 列 号 。 
证 书 颁 布 者 采用 的 签名 算法 一 一 公 钥 签名 标准 1, 即 RSA 加 密 加 上 SHA-1 杂凑 。 
证 书 颁 布 者 。 
证 书 有 效 期 。 
证 书 所 有 者 的 公 钥 ， 包 括 公 钥 的 适用 范围 ， 仅 用 于 RSA 加 密 。 
签名 算法 ， 与 证 书 颁布 者 采用 的 签名 算法 类 似 。 
证 书 颁布 者 的 签名 ， 采 用 ASN.1.DER 编码 标准 产生 的 签名 。 
标准 中 没有 定义 X.509 证 书 的 扩展 内 容 和 基站 证 书 ， 但 是 它 定 义 了 两 种 证 书 类 型 : 
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制造 商 证 书 和 客户 端 证 书 。 制 造 商 证 书 用 于 标识 802.16 设备 的 制造 者 ， 它 可 以 是 自 签名 
证 书 或 由 第 三 方 颁发 的 证 书 。 客 户 端 证 书 标识 一 个 特定 的 客户 端 ， 并 将 其 MAC 地 址 包 
含 在 证 书 所 有 者 字段 内 。 

客户 端 证 书 通常 由 制造 商 产 生 。 基 站 使 用 制造 商 的 公 钥 来 验证 客户 端 证 书 ， 从 而 验 
证 设备 身份 的 真实 性 。 这 种 设计 要 求 客 户 端 必须 妥善 保管 自己 的 私 钥 ， 以 防 泄漏 。 

(3) PKM 授权 协议 

PKM 授权 协议 将 授权 令 牌 分 发 给 一 个 被 授权 的 客户 端 。 该 授权 协议 涉及 一 个 客户 端 
与 基站 的 三 步 交 互 过 程 : 

© 客户 端 发 送 生产 者 证 书 到 基站 。 

© 客户 端 发 送 客户 端 证 书 、 客 户 端 支持 的 加 密 、 认 证 算法 和 SA 标识 符 给 基站 。 

© 基站 返回 使 用 客户 端 公 钥 和 RSA 加 密 算法 加 密 的 授权 密 钥 (AK)、 密 钥 生 命 周 
期 、 序 列 号 和 SA 标识 符 列表 。 

授权 密 钥 的 正确 使 用 意味 着 客户 端 已 被 授权 访问 无 线 城 域 网 络 ， 标 准 中 规定 AK 只 
在 客户 端 与 基站 间 共 享 ， 而 不 能 泄漏 给 第 三 方 。 

(4) 机 密 性 和 密 钥 管理 

PKM 协议 通过 在 基站 与 客户 端 之 间 进 行 两 到 三 步 信息 交互 以 建立 SA。 第 一 步 是 可 
选项 ， 由 基站 提出 重新 生成 密 钥 的 请 求 。 具 体 交 互 过 程 如 下 : 

O 基站 发 送 序列 号 、SA 标识 符 及 使 用 HMAC 算法 和 下 连 密 钥 生成 的 序列 号 与 SA 
标识 符 的 杂凑 值 。 

© 客户 端 发 送 序 列 号 、SA 标识 符 及 使 用 HMAC 算法 和 上 连 密 钥 生成 的 序列 号 与 
SA 标识 符 的 杂凑 值 。 

@ 基站 发 送 序列 号 、SA 标识 符 、 当 前 正在 使 用 的 数据 加 密 密 钥 、 即 将 采用 的 新 数 
据 加 密 密 钥 ， 以 及 使 用 HMAC 算法 和 下 连 密 钥 对 上 述 字 自生 成 的 杂凑 值 。 

(5) 数据 加 密 

802.16 数据 加 密封 装 如 图 11-19 所 示 ，DES-CBC 加 密 只 对 封装 数据 进行 加 密 ， 对 帧 
头 和 CRC 则 不 做 处 理 。 数据 帧 头 包括 一 个 两 位 的 字段 用 于 标识 所 用 的 数据 加 密 密 钥 , 它 
并 不 包含 CBC 加 密 模 式 所 用 的 初始 化 向 量 。 为 了 计算 该 初始 化 向 量 ，802.16 标准 将 最 新 


MAC 帧 头 明文 数据 一 一 CRC 


SA 初始 化 向 量 | 
人 对 -| DEs-CBC 加 密 算 法 |- 一 一 数据 加 密 密 铀 


4 
物理 层 同步 字段 | 


MAC 帧 头 密 文 数据 CRC 
加 密 控制 位 (EC) 置 CRC 根 据 变化 的 MAC 
为 1 : 帧 头 和 密 文 数据 重新 
密 钥 序列 指定 所 使 计算 。 
用 的 数据 加 密 密 钥 。 


图 11-19 802.16 数据 加 密封 装 
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数据 帧 中 的 物理 层 同步 字段 与 SA 初始 化 向 量 进行 异 或 运算 生成 该 向 量 。 由 于 SA 初始 化 
向 量 是 恒定 不 变 和 公开 的 ， 而 物理 层 同 步 字段 又 是 重复 和 可 预测 的 ， 因 此 数据 加 密 采 用 
的 初始 化 向 量 也 是 可 预测 的 。 


11.3.5 WAPI 标准 简介 


WAPI (WLAN Authentication and Privacy Infrastructure) 是 我 国 自主 研发 、 拥 有 自主 
知识 产权 的 无 线 局 域 网 安全 技术 标准 ， 由 ISO/IEC 授权 的 IEEE Registration Authority 审 
查 并 获得 认可 。WAPI 与 现行 的 802.11b 传输 协议 比较 相近 ,区 别 是 所 采用 的 安全 加 密 技 
术 不 同 : WAPI 采用 一 种 名 为 “无 线 局 域 网 认证 与 保密 基础 架构 WAPI)” 的 安全 协议 ， 
而 802.11b 则 采用 WEP。 

WAPI 安全 机 制 由 WAI 和 WPI 两 部 分 组 成 , WAI 和 WPI 分 别 实现 用 户 身份 认证 和 传输 
数据 加 密 功能 。 整 个 系统 由 接 入 点 AP)、 站 点 )(STA) 和 认证 服务 单元 (ASU) 组 成 。 

a) AA (Access Point, AP): 任何 一 个 具备 站 点 功能 、 可 通过 无 线 媒体 为 关联 
的 站 点 提供 访问 服务 能 力 的 实体 。 

(2) 站 (点 ) (Station, STA): 无 线 移 动 终端 设备 ， 它 的 接口 符合 无 线 媒体 的 MAC 
和 PHY 接口 标准 。 

(3) 认证 服务 单元 (Authentication Service Unit, ASU): 它 的 基本 功能 是 实现 对 STA 
用 户 证 书 的 管理 和 STA 用 户 身 份 的 认证 等 。ASU 作为 可 信任 和 具有 权威 性 的 第 三 方 , 保 
证 公 钥 体系 中 证 书 的 合法 性 。 

1. WAPI 认证 

WAPI 认证 原理 如 图 11-20 所 示 。STA 与 AP 上 都 安装 由 ASU 发 放 的 公 钥 证 书 ， 作 
为 自己 的 数字 身份 凭证 。AP 提供 STA 访问 LAN 的 受 控 端口 和 非 受 控 端 口 的 服务 。STA 
首先 通过 AP 提供 的 非 受 控 端口 连接 到 ASU 发 送 认证 信息 ， 只 有 通过 认证 的 STA 才能 
使 用 AP 提供 的 数据 端口 ( 即 受 控 端 口 ) 访问 网 络 。 


STA AP ASU 
认证 激活 
g BAER 
书 证 书 认证 请 求 
认 
证 证 书 认证 响应 
接 入 认证 响应 | | 


11-20 WAPI 认证 原理 


WAPI 认证 过 程 如 下 : 
(1) 认证 激活 。 当 STA 关联 或 重新 关联 至 AP 时 ， 由 AP 发 送 认 证 激活 以 启动 整个 
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认证 过 程 。 

(2) 接 入 认证 请 求 。STA 向 AP 发 出 认证 请 求 ， 即 将 STA 证 书 与 STA 当前 的 系统 时 
间 发 往 AP， 其 中 ， 系 统 时 间 称 为 接 入 认证 请 求 时 间 。 

(3) 证 书 认证 请 求 。AP 收 到 STA 接 入 认证 请 求 后 ， 首 先 记 录 接 入 认证 请 求 时 间 ， 
然后 向 ASU 发 出 证 书 认证 请 求 ， 即 将 STA 证 书 、 接 入 认证 请 求 时 间 、AP 证 书 及 AP 私 
钥 对 它们 的 签名 构成 证 书 认 证 请 求 发 送 给 ASU。 

(4) 证 书 认证 响应 。ASU 收 到 AP 的 证 书 认证 请 求 后 ， 验 证 AP 的 签名 和 AP 证 书 
的 有 效 性 ， 若 不 正确 ， 则 认证 过 程 失败 ; 若 正 确 ， 则 进一步 验证 STA 证 书 。 验 证 完毕 后 ， 
ASU 将 STA 证 书 认 证 结果 (包括 STA 证 书 和 认证 结果 )、AP 证 书 认证 结果 (包括 AP 
证 书 、 认 证 结果 、 接 入 认证 请 求 时 间 ) 和 ASU 对 它们 的 签名 构成 证 书 认 证 响应 报 文 发 回 
给 AP。 

(5) 接 入 认证 响应 。AP 对 ASU 返回 的 证 书 认证 响应 进行 签名 验证 ， 得 到 STA 证 书 
的 认证 结果 ,根据 此 结果 对 STA 进行 接 入 控制 。AP 将 收 到 的 证 书 认 证 结果 回 送 至 STA. 
STA 验证 ASU 的 签名 后 ， 得 到 AP 证 书 的 认证 结果 ,根据 认证 结果 决定 是 否 接 入 该 AP。 

Bit, STA 与 AP 之 间 便 完成 了 证 书 认证 过 程 。 若 认证 成 功 ， 则 AP 允许 STA 接 入 ; 
若 认证 失败 ， 则 解除 其 关联 。 


2. WAPI 密 钥 协商 与 数据 加 密 

STA 与 AP 认证 成 功 后 进行 密 钥 协商 的 过 程 如 下 : 

a) 密 钥 协 商 请 求 。AP 产生 一 串 随机 数据 ， 利 用 STA 的 公 钥 加 密 后 ， 向 STA 发 出 
密 钥 协 商 请 求 。 此 请 求 包含 请 求 方 所 有 的 备 选 会 话 算法 信息 。 

(2) 密 钥 协商 响应 。STA 收 到 AP 发 送 来 的 密 钥 协商 请 求 后 ， 首 先进 行 会 话 算法 协 
i: 若 STA 不 支持 AP 所 有 备 选 会 话 算法 ， 则 向 AP 响应 会 话 算法 失败 ; AM, STA 在 
AP 提供 的 会 话 算法 中 选择 一 种 自己 支持 的 算法 。STA 利用 本 地 私 钥 解密 协商 数据 ， 得 
到 AP 产生 的 随机 数 ， 然 后 产生 一 个 新 的 随机 数 ，STA 利用 AP 的 公 钥 对 此 随机 数 加 密 
后 ， 再 发 送 给 AP。 

密 钥 协 商 成 功 后 ，STA 与 AP 将 自己 与 对 方 产生 的 随机 数据 进行 “ 模 2 加 ”运算 生 
成 会 话 密 钥 ， 利 用 协商 的 会 话 算法 对 数据 进行 加 /解密 。 为 了 进一步 提高 通信 的 保密 性 ， 
通信 一 段 时 间 和 交换 一 定数 量 的 数据 之 后 , STA 与 AP 之 间 将 重新 进行 会 话 密 钥 的 协商 。 


11.3.6 WAP 的 安全 性 
WAP 被 广泛 用 于 无 线 设备 访问 因特网 , 因为 它 是 针对 小 显示 屏 和 有 限 带 宽 的 手持 设 
备 而 设计 的 。 本 节 讨 论 WAP 的 安全 性 。 


1. WAP 网 络 架 构 

如 图 11-21 所 示 ，WAP (Wireless Application Protocol) 网 络 架构 由 3 部 分 组 成 : WAP 
设备 、WAP 网 关 和 Web 服务 器 。 

最 早 的 WAP 设备 是 多 功能 手机 ， 除 了 提供 传统 的 语音 功能 外 ， 这 种 设备 还 包括 一 
个 WAP 浏览 器 。 后 来 ， PDA 和 Pocket PC 上 也 提供 了 WAP 浏览 器 功能 。 这 些 设备 要 么 
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用 无 线 Modem， 要 么 用 无 线 电话 的 红外 线 端口 连接 到 无 线 网 络 上 。WAP 浏览 器 负责 从 
WAP 网 关上 请 求 页 面 并 将 返回 数据 显示 在 设备 上 。 它 能 解释 WML 的 数据 ， 也 可 以 执行 
用 WMLScript 编写 的 程序 。 但 是 由 于 设备 性 能 的 局 限 性 ，WMLScript 程序 通常 在 WAP 
网 关上 执行 ， 然 后 再 将 结果 返回 到 WAP 设备 。 


WML HTML 
WTLS TLS 
RE -— > = 


WAP 设 备 WAP 网 关 Web 服 务 器 
图 11-21 WAP 网 络 架 构 


所 有 来 自 WAP 设备 的 请 求 和 数据 都 必须 通过 WAP 网 关 转 发 到 Internet Eo WAP 网 
关 的 作用 如 下 : 

(1) 协议 转换 。 将 无 线 数据 协议 “WDP〉 和 无 线 传输 层 安 全 (WTLS) 协议 转换 为 
有 线 网 络 协 议 如 TCP 或 TLS。 

(2) 内 容 转换 。 将 HTML 网 页 转换 成 WML 兼容 格式 。 

G) 性 能 优化 。 压 缩 数据 ， 减 少 与 WAP 设备 的 交互 次 数 。 

当 WAP 网 关 收 到 WAP 设备 的 请 求 后 , 会 将 它 转 换 成 HTTP 格式 并 从 Web 服务 器 上 
获得 页 面 。 


2. WAP 安全 架构 

协议 WAP 的 安全 架构 建立 在 无 线 传输 层 安全 (WTLS) 协议 之 上 。 

WILS 协议 是 WAP 采用 的 安全 协议 。 它 作用 在 传输 层 协议 上 ， 为 WAP 的 高 层 协议 
提供 安全 传输 服务 接口 。 该 接口 保留 了 下 面 的 传输 层 ， 并 提供 管理 安全 连接 的 机 制 。 
WILS 的 主要 目的 是 给 WAP 应 用 提供 机 密 性 、 数 据 完整 性 和 认证 服务 。 

WILS 协议 支持 一 系列 算法 。 目 前 ， 保 密 性 由 分 组 加 密 算 法 (如 DES-CBC、IDEA 
和 RC5-CBC) 来 实现 ; 通信 双方 的 认证 通过 RSA 或 Diffie-Hellman 密 钥 交 换算 法 来 实现 ; 
而 数据 完整 性 由 SHA-1 或 MD-5 算法 来 实现 。 

WILS 协议 提供 如 下 3 类 安全 服务 : 

a) 第 一 类 : 匿名 认证 。 客 户 端 登录 到 服务 器 ， 但 是 客户 端 和 服务 器 都 无 法 确认 彼 
此 的 身份 。 

(2) 第 二 类 : 服务 器 认证 。 只 有 客户 端 确认 服务 器 的 身份 ， 服 务 器 不 确认 客户 端的 
身份 。 

(3) 第 三 类 : 双向 认证 。 客 户 端 和 服务 器 彼此 确认 身份 。 

WILS 协议 是 基于 TLS 协议 开发 出 来 的 , 但 针对 无 线 网 络 环境 对 TLS 做 了 一 些 改变 。 
首先 ， 针 对 低 延 迟 、 低 带宽 的 网 络 ，WTLS 对 TLS 进行 了 优化 。 由 于 移动 设备 的 处 理 能 
力 和 内 存 有 限 ，WTLS 的 算法 族 中 采用 了 高 效 和 快速 的 算法 。 其 次 ， 根 据 法 律 规 定 ， 必 
须 遵守 加 密 算法 出 口 和 使 用 的 限制 ， 所 以 在 算法 的 选择 上 留 有 余地 。 虽 然 第 三 类 服务 提 
供 了 使 用 无 线 公 钥 基础 设施 CWPKD 的 可 能 ， 但 也 带 来 了 全 新 的 问题 ， 如 用 户 的 公 钥 / 
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私 钥 对 应 该 如 何 管理 等 。 虽 然 密 钥 可 以 存储 在 SM 卡 内 ， 但 是 网 络 运营 商 需 要 对 已 经 发 
放 的 SIM 卡 进行 升级 ， 这 无 疑 会 带 来 巨大 的 工作 量 。 针 对 这 个 问题 ，WAP 论坛 开发 出 
了 无 线 身 份 识别 模块 《WIM)， 它 可 以 是 虚拟 的 ， 即 将 身份 信息 存储 到 SIM 卡 中 未 用 的 
存储 空间 内 或 存储 在 单独 的 卡 上 。 目 前 ，WAP 的 应 用 大 多 采用 第 一 类 或 第 二 类 认证 。 第 
二 类 认证 的 认证 过 程 如 下 : 

(1) WAP 设备 向 WAP 网 关 发 送 请 求 。 

(2) 网 关 将 自己 的 证 书 (包含 网 关 的 公 和 钥 ) 发 回 WAP 设备 。 

(3) WAP 设备 取出 证 书 和 公 钥 ， 生 成 一 个 随机 数 ， 并 用 网 关 的 公 钥 进行 加 密 。 

(4) WAP 网 关 收 到 密 文 并 用 私 钥 解密 。 

该 过 程 虽然 简单 ， 但 是 它 通过 最 少 的 交互 在 用 户 和 网 关 之 间 建立 加 密 隧 道 。 不 幸 的 
是 , WTLS 协议 只 对 从 WAP 设备 到 WAP 网 关 之 间 的 数据 进行 加 密 , 从 WAP 网 关 到 Web 
服务 器 之 间 的 数据 则 采用 SSL 协议 加 密 。 由 于 数据 必须 由 WTLS 格式 转换 成 SSL 格式 ， 
所 以 在 一 段 时 间 内 WAP 网 关上 的 数据 以 明文 形式 存在 ， 这 会 带 来 安全 问题 。 

WAP 也 提供 了 一 个 使 用 WMLScript 编写 的 WAP 设备 数字 签名 程序 SignText， 该 程 
序 提供 防 抵赖 服 务 。 


3. 基于 WAP 网 关 的 端 到 端 安 全 

WAP 采用 WTLS 建立 了 两 个 WAP 端点 一 一 WAP 设备 和 WAP 网 关 之 间 端 到 端的 安 
全 连接 。 当 WAP 网 关 将 请 求 转发 给 Web 服务 器 时 ， 系 统 使 用 SSL 协议 来 保障 安全 性 。 
这 就 意味 着 数据 将 在 WAP 网 关上 解密 和 加 密 。 在 提供 WTLS 到 SSL 转换 的 同时 ，WAP 
网 关 还 需 对 网 页 上 的 小 程序 和 脚本 进行 编译 ， 因 为 大 部 分 的 WAP 设备 都 没有 配备 编译 
器 。 值 得 注意 的 是 ， 在 从 WTLS 转换 到 SSL 的 过 程 中 ， 数 据 在 WAP 网 关上 是 以 明文 形 
式 存在 的 ， 因 此 如 果 WAP 网 关 没 有 妥善 保护 ， 数 据 的 安全 就 会 受到 威胁 。 

为 了 弥补 这 一 缺陷 ，WAP 提出 了 两 点 改进 : 第 一 ， 采用 客户 端 应 用 代理 将 认证 和 授 
权 信 息 传输 给 无 线 网 络 的 服务 器 ， 第 二 ， 将 数据 在 应 用 层 加 密 ， 这 样 就 保证 了 数据 在 整 
个 传输 过 程 中 是 加 密 的 。 

但 是 ，WAP 网 关 最 安全 的 应 用 方式 还 是 把 WAP 网 关 设置 在 服务 提供 商 的 网 络 上 ， 
这 样 ， 客 户 端 和 服务 提供 商 之 间 的 连接 就 是 可 信 的 ， 因 为 解密 过 程 是 在 服务 提供 商 自 己 
的 网 络 上 而 不 是 在 网 络 运 营 商 的 网 络 上 进行 的 。 


4. WTLS 记录 协议 

WTLS 记录 协议 从 高 层 协议 上 获取 原始 数据 ， 并 对 数据 进行 有 选择 的 加 密 和 压缩 。 
记录 协议 负责 保障 数据 的 完整 性 和 认证 性 。 接 收 到 的 数据 经 过 解密 、 验 证 和 解压 传输 到 
上 层 协议 。 记 录 协 议 通 过 一 个 3 步 握手 机 制 建立 安全 通信 : 首先 ， 握 手 协议 开始 建立 一 
个 连接 ; 其次， 改变 加 密 细节 协议 就 通信 双方 采用 的 加 密 算 法 细节 达成 一 致 ， 最 后 ， 报 
警 协议 报告 错误 信息 。 这 3 个 协议 的 工作 内 容 如 下 : 

(1) 握手 协议 。 所 有 的 安全 参数 都 在 握手 中 确定 。 这 些 参 数 包括 协议 版 本 号 、 加 密 
算法 及 采用 认证 和 公 钥 技术 生成 的 共享 密 钥 等 信息 。 

(2) 改变 加 密 细节 协议 。 改 变 加 密 算 法 细节 的 请 求 可 以 由 服务 器 或 客户 端 发 起 ， 当 
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收 到 请 求 后 ， 发 送 者 会 由 写 状态 转 为 挂 起 状态 ， 而 接收 者 也 由 读 状 态 转 为 挂 起 状态 。 
G) 告警 协议 。 有 3 种 告警 信息 一 一 警告 、 紧 急 和 致命 错误 。 告 警 信息 可 以 采用 加 
密 和 压缩 方式 传输 ， 也 可 以 采用 明文 方式 传输 。 


_ 4 Adhoc 网 络 的 安全 性 


自 组 织 网 络 (Ad hoc Network) 是 由 一 组 带 有 无 线 网 络 接口 的 移动 终端 在 没有 固定 
网 络 设施 辅助 和 集中 管理 的 情况 下 搭建 的 临时 性 网 络 。 当 两 个 移动 终端 在 彼此 的 通信 禾 
盖 范 围 内 时 ， 它 们 可 以 直接 通信 。 由 于 移动 终端 的 通信 覆盖 范围 有 限 ， 如 果 两 个 相距 较 
远 的 主机 要 进行 通信 ， 则 需要 通过 它们 之 间 的 移动 终端 转发 才能 实现 。 因 此 ， 在 Ad hoc 
网 络 中 ， 主 机 同时 还 是 路 由 器 ， 担 负 着 寻找 路 由 和 转发 报 文 的 工作 。 每 个 主机 的 通信 范 
围 有 限 ， 因 此 路 由 一 般 都 由 多 跳 组 成 ， 数 据 通过 多 个 主机 的 转发 才能 到 达 目 的 地 ， 故 Ad 
hoc 网 络 也 被 称 为 多 跳 无 线 网 络 。 

Ad hoc 网 络 拓扑 结构 图 如 图 11-22 所 示 。 


(a) 平面 结构 (b) 分 级 结构 (c) 分 层 结构 


11-22 Ad hoc 网 络 拓扑 结构 图 


Adhoc 网 络 的 应 用 范围 很 广 ， 它 适用 于 以 下 场合 : 

(1) 没有 有 线 通信 设施 的 地 方 , 如 没有 建立 硬件 通信 设施 或 有 线 通信 设施 遭受 破坏 。 

(2) 需要 分 布 式 特性 的 网 络 通信 环境 。 

(3) 现 有 有 线 通信 设施 不 足 ， 需 要 临时 快速 建立 一 个 通信 网 络 的 环境 。 

(4) 作为 生存 性 较 强 的 后 备 网 络 。 

Ad hoc 网 络 具有 自 组 织 性 、 无 中 心性 、 动 态 拓扑 、 资 源 受 限 和 多 跳 路 由 的 特点 。 这 
些 特性 也 带 来 了 其 安全 的 特殊 性 ， 如 下 所 述 : 

(1) Ad hoc 网 络 采 用 无 线 信号 作为 传输 媒介 ， 很 容易 被 窃听 和 干扰 。 

(2) 网 络 节点 是 自主 移动 的 ， 节 点 的 安全 性 十 分 脆弱 。 例 如 在 战场 上 ， 节 点 随时 可 
能 落 入 敌人 之 手 ， 节 点 内 的 密 钥 、 报 文 信息 等 存在 被 破获 的 风险 ， 被 攻破 的 节点 随后 又 
可 能 以 合法 用 户 身 份 加 入 网 络 。 因 此 ，Ad hoc 不 仅 要 防范 来 自 外 部 的 入 侵 ， 还 要 防御 来 
自 内 部 节点 的 攻击 。 

(3) Adhoc 网 络 中 节点 位 置 随时 改变 ， 造 成 网 络 拓扑 的 不 断 变化 ， 因 此 造成 路 由 途 
径 的 不 断 变化 。 我 们 很 难 判断 一 条 错误 的 路 由 是 因 节 点 的 移动 所 致 还 是 因 虚 假 路 由 信息 
所 形成 。 由 于 节点 的 移动 性 ， 在 某 处 被 发 现 的 攻击 者 可 能 移动 到 新 的 地 点 ， 通 过 改变 标 
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识 重 新 加 入 网 络 。 另 外 ， 由 于 Ad hoc 网 络 的 动态 网 络 拓扑 特性 ， 它 不 存在 网 络 边界 的 概 
&, Internet 中 常用 的 防火 墙 等 安全 设备 也 无 法 在 Ad hoc 网 络 中 应 用 。 

(4) 在 传统 的 非 对 称 密 钥 体制 中 ， 用 户 常 采 用 加 密 、 数 字 签名 、 消 息 认证 码 MAC 
等 技术 来 实现 信息 的 机 密 性 、 完 整 性 、 不 可 抵赖 性 等 安全 服务 ， 它 需要 一 个 可 信任 的 认 
证 中 心 CA 来 提供 密 钥 管理 服务 。 但 在 Ad hoc 网 络 中 不 允许 存在 认证 中 心 ， 因 为 认证 中 
心 的 崩溃 将 造成 整个 网 络 无 法 获得 认证 ， 即 单 点 失败 。 更 严重 的 是 ， 被 攻破 的 认证 中 心 
的 私 钥 可 能 会 泄漏 给 攻击 者 ， 攻 击 者 可 以 使 用 该 私 钥 来 签发 伪造 的 证 书 ， 假 冒 网 络 中 任 
意 一 个 移动 节点 或 废除 所 有 合法 的 证 书 ， 致 使 整个 网 络 完全 失去 安全 性 。 

(5) 目前 的 路 由 算法 都 假定 网 络 中 所 有 节点 是 相互 合作 的 、 可 信 的 ， 它 们 相互 配合 
以 完成 网 络 信息 的 传递 。 如 果 网 络 中 某 些 自私 节点 为 节省 本 身 的 资源 而 停止 转发 数据 ， 
就 会 影响 整个 网 络 的 性 能 。 如 果 参 与 到 网 络 中 的 攻击 者 专门 广播 虚假 的 路 由 信息 或 故意 
广播 大 量 的 无 用 数据 包 ， 可 能 导致 整个 网 络 的 崩溃 。 

(6) Adhoc 网 络 终端 资源 受 限 ， 在 制定 和 实施 安全 方案 时 ， 必 须 充分 考虑 其 计算 量 
和 通信 量 等 。 

不 难看 出 ，Ad hoc 网 络 的 安全 问题 比 传统 网 络 突出 ， 解 决 起 来 难度 更 大 。 传 统 网 络 
中 存在 的 安全 问题 在 Ad hoc 网 络 中 同样 存在 ， 而 且 由 于 其 特殊 性 ，Ad hoc 网 络 又 面临 
新 的 安全 威胁 ， 如 针对 Ad hoc 网 络 的 女巫 攻击 等 。 目 前 在 传统 网 络 中 大 量 使 用 的 安全 解 
RAR, RAH. VPN 及 IDS 等 ， 不 能 直接 应 用 于 Ad hoc 网 络 。 

目前 ，Ad hoc 网 络 安全 领域 研究 热点 集中 在 以 下 几 个 方面 : DAd hoc 网 络 保密 与 认 
证 技术 ; @Ad hoc 网 络 安全 路 由 ; @Ad hoc 网 络 入 侵 检测 技术 ; @Ad hoc 网 络 信任 建立 
与 度量 。 


11.4.1 Ad hoc 网 络 保密 与 认证 技术 


保密 与 认证 技术 用 来 认证 合法 的 节点 、 加 密 传输 信息 、 减 小 敌人 发 动 攻击 成 功 的 可 
能 性 ， 是 Ad hoc 网 络 安全 的 第 一 道 屏障 。 现 有 的 Ad hoc 网 络 保密 与 认证 方案 可 以 分 为 
双 钥 体制 方案 〈 非 对 称 密码 体制 ) 和 单 钥 体制 〈 对 称 密码 体制 ) 方案 。 双 钥 体制 方案 主 
要 用 于 移动 Ad hoc 网 络 (Mobile Ad hoc Networks, MANET) 中 ， 而 单 钥 体制 方案 主要 
用 于 无 线 传 感 器 网 络 (Wireless Sensor Network，WSN) 中 。 


1. 双 钥 体制 方案 

在 双 钥 体制 方案 中 ， 最 典型 的 是 分 布 式 CA 密 钥 管理 与 认证 方案 。 分 布 式 CA 方案 
分 为 部 分 分 布 式 CA 方案 和 完全 分 布 式 CA 方案 两 种 情况 。 

部 分 分 布 式 CA 方案 的 基本 思想 是 利用 Cn, D 门限 密 钥 共 享 体制 把 CA 中 心 分 散 到 
n 个 服务 器 中 。 系 统 有 一 个 公 钥 / 私 钥 对 Kike AHA 天 对 网 络 中 的 所 有 节点 公开 ， 而 私 钥 
被 分 成 了 n 个 份额 s,s,,…,s, ， 每 个 服务 器 i 有 一 个 份额 ， 如 图 11-23 所 示 。 在 C, D 
门限 签名 体制 中 ， 用 系统 私 钥 产生 一 个 签名 ， 至 少 需 要 n 个 服务 器 中 的 t 个 服务 器 合 
并 它们 的 私 钥 份 额 。 对 于 一 个 消息 m， 服 务 器 i 用 自己 的 私 钥 份 额 s 生 成 一 个 对 m 的 签 
名 分 量 PS(s,,m) ; n 个 服务 器 中 的 1 个 服务 器 产生 自己 的 签名 分 量 , 并 将 它 发 送 给 组 合 节 
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点 C; C 用 这 :个 签名 分 量 生成 系统 对 m 的 签名 ， 而 不 会 泄漏 整个 系统 的 私 钥 ko DF t 
个 服务 器 的 签名 分 量 不 能 合作 产生 系统 对 消息 m 的 签名 。 同 时 ,合并 节点 可 以 用 系统 公 
钥 天 验证 签名 的 正确 性 。 图 11-24 说 明了 服务 器 是 如 何 采用 门限 签名 方案 产生 一 个 系统 
签名 的 。 后 来 的 改进 方案 取消 了 组 合 节点 C， 提 高 了 系统 的 效率 和 可 用 性 。 这 种 方案 考 
虑 了 Adhoc 网 络 的 特点 ， 有 效 地 防止 了 单 点 失败 ， 具 有 很 好 的 抗 毁 性 。 


k 


sy S2 Sq 


K,/k, Kalk, K,/kn Sa 
服务 节点 1 服务 节点 2 ”服务 节点 n 服务 节点 nm 
图 11-23” 密 钥 管 理 服务 配置 图 11-24 ”门限 签名 方案 


完全 分 布 式 CA 方案 扩展 了 部 分 分 布 式 CA 方案 , 取消 了 特殊 的 CA 节点 ，CA 中 心 
的 任务 由 所 有 的 网 络 节点 共同 承担 ， 每 个 节点 都 持 有 一 份 私 钥 份 额 ， 任 意 t 个 节点 联合 
可 以 完成 加 /解密 和 证 书 操作 ， 符 合 Ad hoc 网 络 节点 地 位 平等 的 特点 。 此 类 方案 充分 利 
用 邻接 节点 具有 较 好 的 网 络 连 接 性 和 易于 监控 的 特点 ， 使 证 书 服务 既 分 散 化 又 本 地 化 ， 
能 较 好 地 适应 动态 的 网 络 拓扑 结构 。 

(1) 自 组 织 密 钥 管理 方案 。 基 于 PGP (Pretty Good Privacy) 的 思想 ， 不 需要 由 CA 
颁发 证 书 ， 而 是 节点 相互 颁发 并 维护 证 书 。 每 个 用 户 都 能 在 本 地 维护 一 个 证 书库 。 当 两 
个 用 户 需要 相互 认证 时 ， 它 们 合并 各 自 拥 有 的 证 书库 ， 形 成 一 张 认证 路 径 图 ， 并 从 该 图 
中 寻找 一 条 认证 路 径 。 认 证 成 功 取决 于 用 户 的 本 地 证 书库 构成 方式 和 认证 路 径 图 的 特性 。 
这 种 方案 实现 了 完全 的 自 组 织 ， 而 且 建 立 阶 段 比 较 简单 。 

(2) 基于 身份 的 密 钥 管理 与 认证 方案 。 将 基于 身份 的 密码 机 制 与 分 布 式 CA 方案 的 
思想 相 结合 。 基 于 身份 的 密码 机 制 使 用 节点 身份 标识 ， 如 姓名 、 邮 件 地 址 等 ， 作 为 公 钥 ， 
这 主要 有 两 个 优势 : @ 不 需要 公 钥 证 书 ，@) 不 需要 交换 公 钥 。 方 案 中 由 一 组 选 定 的 节点 
共同 承担 密 钥 分 发 中 心 (Key Diistributed Center, KDC) 的 职责 ， 它 们 根据 C, t) 门限 
方案 获得 系统 私 钥 的 一 个 份额 ， 联 合 为 节点 产生 私 钥 。 

基于 杂凑 链 (Hash Chain) 认证 的 基本 思想 是 : 一 个 杂凑 函数 h 对 随机 数 x 应 用 n 
K x, =A" (x) 是 杂 竣 链 的 最 后 一 个 值 。 每 个 设备 计算 自己 的 杂凑 链 ， 在 认证 的 方式 下 和 
通信 伙伴 交换 x, ， 保 证 x 不 泄漏 。 一 个 被 杂凑 链 中 x 询问 的 设备 通过 应 答 杂 凑 链 中 的 前 
一 个 值 x ,来 证 明 自己 的 身份 ,只 有 知道 x 的 设备 才能 计算 要 求 的 应 答 。 这 种 杂凑 链 机 制 
也 称 为 密 钥 链 ， 它 只 提供 单 向 认证 ， 且 在 协议 执行 中 没有 建立 密 钥 。 基 于 这 种 方法 提出 
的 认证 协议 很 多 ， 比 较 有 代表 性 的 是 TESLA (Timed Efficient Stream Loss-tolerant 
Authentication)。 在 TESLA 中 ， 发 送 者 首先 利用 数字 签名 将 x, 发 送 到 另 一 方 ， 发 送 数 据 
包 忆 时 ,利用 杂凑 链 中 的 一 个 值 x; 作 为 密 钥 ,计算 发 送 数 据 m 的 消息 认证 码 MAC(m,x))， 
随同 消息 一 起 发 送 ,在 下 一 个 数据 包 忆 ,, 中 公布 x;， 并 利用 x; ,做 上 述 操作 。 接 收 者 在 收 
到 R, 后 ， 首 先 利用 xj 来 验证 x) 的 正确 性 ， 即 验证 发 送 者 身份 的 正确 性 ， 然 后 用 x, 验 
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证 数据 包 忆 的 真实 性 。 


2. 单 钥 体制 方案 

单 钥 体制 方案 比较 多 ， 这 里 仅 介 绍 比较 典型 的 几 类 方案 。 

(1) 基于 密 钥 池 的 密 钥 预 分 发 方案 。 

最 基本 的 基于 密 钥 池 的 密 钥 预 分 发 方案 (简称 E-G 方案 ) 由 3 个 阶段 组 成 。 第 1 阶 
段 为 密 钥 预 分 发 阶段 。 服 务 器 首先 生成 一 个 密 钥 总 数 为 P 的 大 密 钥 池 及 密 钥 标识 ， 每 一 
节点 从 密 钥 池 里 随机 选取 k <P) 个 不 同 的 密 钥 。 这 种 随机 预 分 发 方式 使 得 任意 两 个 
节点 能 够 以 一 定 的 概率 存在 着 共享 密 钥 。 第 2 阶段 为 共享 密 钥 发 现 阶段 。 随 机 部 署 后 ， 
两 个 相 邻 节点 若 存 在 共享 密 钥 ， 就 随机 选取 其 中 的 一 个 作为 双方 的 配对 密 钥 ， 否 则 进入 
第 3 阶段 。 第 3 阶段 为 密 钥 路 径 建立 阶段 ， 节 点 通过 与 其 他 存在 共享 密 钥 的 邻居 节点 经 
过 若干 跳 后 建立 双方 的 一 条 密 钥 路 径 。E-G 方案 在 以 下 3 个 方面 满足 和 符合 WSN 的 特 
点 : 一 是 节点 仅 存 储 少量 密 钥 就 可 以 使 网 络 获得 较 高 的 安全 连通 概率 ， 二 是 密 钥 预 分 发 
时 不 需要 节点 的 任何 先 验 信息 (如 节点 的 位 置信 息 、 连 通关 系 等 ); 三 是 部 署 后 节点 间 的 
密 钥 协商 无 须 服务 器 的 参与 ， 使 得 密 钥 管理 具有 良好 的 分 布 特性 。 

q-composite 随机 密 钥 预 分 发 方案 (q-composite Random Key Pre-distribution Scheme) 是 
对 E-G 方案 的 改进 。 节 点 从 密 钥 总 数 为 P 的 密 钥 池 里 预 随机 选取 个 不 同 的 密 钥 ， 部 署 
后 两 个 相 邻 节点 至 少 需要 共享 4 个 密 钥 才能 直接 建立 配对 密 钥 。 随 着 4 值 的 增 大 ， 攻 击 
者 能 够 破坏 安全 链 路 的 难度 呈 指 数 增加 ， 但 同时 对 节点 的 存储 空间 需求 也 增 大 。 

(2) 基于 密 钥 矩阵 的 动态 密 钥 产生 方案 。 

此 方案 利用 一 个 有 限 域 Z; 上 的 (+DxN 的 公共 矩阵 G 和 一 个 (4+DQ+D 的 秘密 
矩阵 DD 为 网 络 中 的 各 个 节点 生成 动态 密 钥 ,其 中 为 网 络 中 节点 数量 。 密 钥 矩 阵 被 定义 
为 对 称 和 矩阵 天 (D + G) e G。 节 点 5; 存储 矩阵 G 中 的 第 i Fil column, 作为 公共 信息 ， 存 储 
矩阵 (D。G)” 中 的 第 i 行 row; 作 为 私有 信息 。 当 两 个 节点 CS, S) 协商 密 钥 时 ， 首 先 交 换 
公共 信息 column 和 column; ， 然 后 分 别 计算 密 钥 Ky =rowix columy 和 Kj = row; x 
column; WE 11-25 所 示 。 

A=(D * G)" (D+ GIG 


i 


= x 


图 11-25 ”基于 密 钥 矩 阵 的 动态 密 钥 产生 方案 


(3) 基于 多 项 式 的 动态 密 钥 产生 方案 。 
采用 类 似 于 密 钥 矩阵 的 对 称 密 钥 思想 : 对 于 一 个 21 次 的 二 元 多 项 式 fy) = 


. 宁 axiy/ ， 具 有 有 = /Cn 性质。 节点 上 预先 存储 SED, i 为 节点 标识 。 一 个 


i,j=0 


网 络 节点 仅 需 要 邻居 节点 的 标识 7 ， 即 可 独立 计算 f(i,j)= 了 (j,i) 。 该 方式 所 需 的 计算 量 
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大 ， 当 网 络 规模 增 大 时 可 用 性 不 强 。 

(4) 基于 部 署 知 识 (Deployment Knowledge) 的 密 钥 管理 方案 。 

基于 部 署 知 识 的 密 钥 预 分 发 是 一 种 辅助 方案 ， 可 以 与 其 他 密 钥 方案 相 结 合 ， 达 到 优 
化 密 钥 的 预 分 发 方案 性 能 的 目的 。 该 方案 的 基本 思路 是 : 使 网 络 中 近 距 离 节点 大 概率 直 
接连 通 ， 远 距离 节点 小 概率 直接 连通 ， 甚 至 零 概 率 连通 。 以 基于 密 钥 池 的 方案 为 例 ， 假 
定 网 络 的 部 署 目标 区 域 是 一 个 二 维 矩 形 区 域 ，” 个 节点 被 分 成 g 个 相等 的 组 ， 每 个 组 有 
1 人 8 个 节点 ， 如 图 11-26 所 示 。 密 钥 池 〈 密 钥 数 为 |S|) 被 划分 成 若干 个 子 密 钥 池 〈 密 钥 数 
为 ls|)， 每 个 子 密 钥 池 对 应 于 一 个 部 署 组 。 若 两 个 子 密 钥 池 是 水 平 或 垂直 相 邻 ， 则 至 少 
共享 qlso 个 密 钥 ; 若 两 个 子 密 钥 池 是 对 角 相 邻 ， 则 至 少 共享 bjSd| 个 密 钥 (a，5b 满足 以 下 
关系 : O<a, b<0.25 H 4a+4b=1)， 若 两 个 子 密 钥 池 不 相 邻 ， 则 没有 共享 密 钥 ， 如 图 11-27 
所 示 。 对 于 组 内 每 一 个 节点 ， 从 对 应 的 子 密 钥 池 随 机 取 m 个 不 同 的 密 钥 。 部 署 后 ， 若 相 
邻 节 点 存在 共享 密 钥 , 则 可 以 直接 建立 配对 密 钥 。 这 种 方法 提高 了 节点 的 安全 连通 概率 ， 
在 安全 连通 概率 确定 的 条 件 下 ， 可 以 减少 节点 存储 密 钥 的 数量 ， 从 而 减少 节点 被 俘 时 密 
钥 的 泄漏 ， 最 终 提高 网 络 的 抗 节 点 俘获 能 力 。 
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11-26 节点 部 署 位置 的 划分 图 11-27 子 密 钥 池 的 重 且 关系 


除了 上 述 代 表 性 方案 外 ,还 有 基于 组 合理 论 的 密 钥 分 发 方案 、 基 于 EBS 的 密 钥 分 发 
方案 、LEAP、SPINS、Pebblenets 和 复活 鸭子 模型 等 。 


11.4.2 Ad hoc 网 络 的 安全 路 由 


安全 路 由 协议 的 目标 是 实现 路 由 信息 的 可 用 性 、 真 实 性 、 完 整 性 和 抗 抵赖 性 ， 防 止 
恶意 节点 对 路 由 协议 的 破坏 。 已 有 的 路 由 协议 (DSR. AODV, DSDV 等 ) 均 假 设 存在 
安全 的 网 络 环境 ， 这 些 协 议 不 能 对 抗 针对 路 由 的 攻击 。 因 此 ， 研 究 者 在 这 些 协议 的 基础 
上 ， 应 用 密码 技术 ， 提 出 了 SEAD, Ariadne, ARAN, SAODV 等 安全 路 由 协议 。 这 些 
安全 协议 都 需要 一 些 先决 条 件 ， 如 节点 在 通信 之 前 能 够 交换 初始 参数 、 协 商会 话 密 钥 或 
有 可 信 的 第 三 方 颁发 的 证 书 等 。 在 协议 执行 的 过 程 中 ， 它 们 采用 数字 签名 、 杂 凌 链 及 信 
任 机 制 来 保证 路 由 信息 安全 可 靠 。 


11.4.3 Ad hoc 网 络 的 入 侵 检测 


在 移动 环境 中 ， 并 不 能 很 明确 地 区 分 正常 行为 和 异常 行为 ， 所 以 传统 网 络 中 的 IDS 
技术 不 能 直接 应 用 到 MANET 中 。 针 对 MANET 的 特点 ， 国 际 国内 出 现 了 多 种 入 侵 检测 
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系统 模型 ， 使 用 不 同 的 方法 集中 或 分 散 IDS 的 监测 任务 ， 分 布 式 地 监视 网 络 状况 ， 共 享 
信息 ， 合 作 检测 入 侵 行为 。 近 来 人 们 提出 的 方案 有 : @D 基 于 代理 的 分 布 式 协作 入 侵 检测 
方案 ; 动态 协作 的 入 侵 检测 方案 ; @ 基 于 时 间 自 动机 的 入 侵 检测 算法 ;，@ 基 于 区 域 划 
分 的 入 侵 检测 方案 ，@ 基 于 人 工 免疫 的 入 侵 检测 方案 等 。 


11.4.4 Ad hoc 网 络 的 信任 建立 


信任 可 分 为 身份 信任 和 行为 信任 。 身份 信 任 是 基于 证 书 或 标识 的 对 实体 身份 的 信任 ， 
行为 信任 是 基于 实体 行为 和 信誉 的 对 实体 能 力 、 可 靠 性 等 属性 的 信任 。 身 份 信任 确保 行 
为 信任 评估 的 安全 性 、 准 确 性 ， 是 后 续 安全 机 制 实施 的 基础 ， 行 为 信任 为 身份 信任 关系 
的 安全 建立 、 更 新 及 撤销 提供 保障 。 身 份 信任 主要 靠 认 证 技术 来 实现 ， 但 现 有 的 身份 信 
任 模型 还 存在 很 多 不 完善 的 地 方 。 例 如 ， 不 能 很 好 地 解决 新 加 入 的 网 络 节点 与 其 他 节点 
建立 身份 信任 关系 的 问题 ， 证 书 撤销 的 决策 缺乏 信任 依据 ， 等 等 。 另 外 ， 仅 实现 网 络 节 
点 间 的 身份 信任 也 无 法 完全 解决 Ad hoc 网 络 中 的 路 由 安全 问题 。 例 如 ， 黑 洞 攻击 和 网 络 
中 的 自私 行为 等 问题 仍然 存在 。 行 为 信任 评估 本 质 上 就 是 通过 收集 和 处 理 实体 行为 的 证 
据 信 息 获得 经 验 ， 并 以 此 为 依据 做 出 信任 决策 ， 这 是 行为 信任 的 核心 。 目 前 ， 行 为 信任 
技术 包括 可 信 计 算 技 术 和 信任 度量 模型 建立 。 现 有 行为 信任 评估 模型 中 普遍 没有 身份 信 
任 和 通信 保密 性 的 保障 ， 很 难 实现 安全 、 准 确 的 信任 评估 。Ad hoc 网 络 的 信任 问题 还 需 
要 进一步 研究 。 


习 是 


TN 填空 题 
1. 无 线 网 络 面临 的 安全 威胁 主要 有 
和 (请 写 出 5 种 )。 
2. GSM 网 络 由 Š X 
和 8 部 分 构成 。 
3. 3G 网 络 中 接 入 链 路 数据 保护 方式 有 两 种 : 和 
4. 802.11i 中 有 和 两 种 加 密 模式 。 
5. 802.1x 系统 中 有 x 和 3 个 角色 。 
6. 802.16 的 安全 子 层 由 和 5 部 
分 组 成 。 
7. WAPI 安全 机 制 由 和 两 部 分 组 成 。 整 个 系统 由 
和 组 成 。 
8. Ad hoc 网 络 的 特点 有 : x x x 和 。 
拓扑 结构 有 、 和 3 种 。 


二 、 简 答题 
1. 无 线 网 络 技术 可 以 分 为 哪 两 大 类 ? 这 两 大 类 中 的 代表 分 别 是 什么 ? 
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. 无 线 局 域 网 络 采 用 哪 两 种 扩 谱 技术 ? 

. GSM 网 络 的 体系 结构 是 怎样 的 ? 简要 描述 GSM 网 络 的 认证 过 程 。 
. 3G 网 络 的 安全 性 由 哪 几 部 分 保证 ? 

. 简要 描述 CDMA 网 络 的 认证 过 程 。 

. 简要 描述 WEP 的 加 /解密 过 程 。 

. 802.11i 由 哪 几 部 分 组 成 ? 各 部 分 的 层次 是 怎样 的 ? 

. 802.11i 中 采用 的 TKIP 针对 WEP 做 了 哪些 改进 ? 

. 802.11i 中 两 种 加 密 模式 的 区 别 是 什么 ? 

. 802.16 的 安全 子 层 由 哪 几 部 分 组 成 ? 各 部 分 的 作用 是 怎样 的 ? 

. 802.1x 系统 中 有 哪 3 个 角色 ， 这 些 角色 是 如 何 相互 作用 的 ? 

. WAPI 安全 机 制 中 每 部 分 的 作用 是 什么 ? 简 述 具体 过 程 。 

. Ad hoc 网 络 的 保密 与 认证 技术 都 有 哪些 ? 

. 无 线 网 络 面临 的 安全 威胁 主要 包含 哪 几 种 ? 如 何 预防 这 些 威 胁 ? 
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第 12 ni 
防火 墙 技术 


计算 机 安全 本 身 就 是 一 个 难题 ， 要 保证 联网 计算 机 的 安全 性 就 更 加 困难 。 单 台 主机 
的 管理 员 通过 细心 地 选择 系统 软件 和 加 强 系统 安全 配置 , 也 许 会 使 其 获得 一 定 的 安全 性 。 
但 是 ， 如 果 这 人 台 主 机 连 到 网 上 ， 人 情况 就 大 不 一 样 了 。 


1. 对 计算 机 的 攻击 发 起 点 数量 剧 增 

攻击 单 台 主机 必须 在 能 够 物理 接触 到 的 前 提 下 ， 通 过 鼠标 或 键盘 等 输入 设备 进入 系 
统 。 物 理 接触 这 一 前 提 使 得 潜在 的 攻击 者 只 能 存在 于 一 个 很 小 的 范围 内 。 联 网 主机 则 不 
同 ， 只 要 通过 网 络 能 够 到 达 目 标 主机 ， 就 存在 被 攻击 的 可 能 。 因 特 网 把 全 球 成 千 上 万 的 
主机 连接 到 一 起 ， 假 如 没有 正确 的 防范 ， 任 何人 都 可 以 对 联网 计算 机 进行 攻击 。 


2. 攻击 方式 更 多 ， 破 坏 性 更 强 
台 计 算 机 受到 攻击 的 方式 不 多 ， 影响 也 不 太 大 ， 但 是 对 于 联网 的 计算 机 而 言 ， 受 到 
攻击 的 方式 增多 了 ， 邮 件 服务 、 联 网 的 文件 系统 ， 以 及 数据 库 服务 器 都 是 潜在 的 危险 源 ， 
同时 受到 攻击 后 导致 的 后 果 也 更 加 严重 。 比 如 邮件 服务 器 受到 攻击 ， 可 能 导致 所 有 邮件 使 
用 者 无 法 正常 使 用 。 此 外 ， 某 些 协 议 所 采用 的 认证 方式 也 存在 一 定 的 缺陷 (可 参考 第 2、3 
章 对 协议 的 描述 )， 但 是 为 了 给 本 地 用 户 提供 相应 的 服务 ， 人 们 还 不 得 不 使 用 它们 。 


3. 网 络 也 暴露 了 计算 机 的 可 传递 信任 问题 

一 台 经 过 安全 设置 的 计算 机 本 身 可 能 是 安全 的 ， 但 与 其 相连 的 其 他 用 户 的 计算 机 可 
能 是 不 安全 的 。 即 使 这 一 连接 是 经 过 认证 的 ， 并 对 直接 攻击 免疫 ， 但 是 如 果 该 连接 的 源 
头 被 攻破 ， 它 仍然 可 以 成 为 攻击 系统 的 桥头 堡 。 

要 成 功 地 解决 这 些 问 题 ， 有 效 的 解决 方案 是 采用 防火 墙 。 

防火 墙 是 架设 在 内 部 网 络 和 外 部 网 络 之 间 的 屏障 ， 它 限制 内 部 和 外 部 网 络 数据 的 自 
由 流动 。 如 果 使 用 得 当 ， 防 火 墙 会 大 大 地 提高 网 络 的 安全 性 。 然 而 “世界 上 没有 绝对 的 
东西 ?。 任何 网 络 都 不 具有 绝对 的 安全 性 ， 做 任何 事情 都 要 付出 相应 的 代价 。 网 络 会 给 人 
们 带 来 很 多 好 处 ， 与 网 络 断 开 连 接 意味 着 自动 放弃 这 些 好 处 。 在 实际 应 用 中 ， 管 理 员 可 
权衡 利弊 做 出 决策 。 


424 ”防火 墙 概述 


防火 墙 是 由 软件 和 硬件 组 成 的 系统 ， 它 处 于 安全 的 网 络 (通常 是 内 部 局 域 网 ) 和 不 
安全 的 网 络 (通常 是 Intemet， 但 不 局 限于 Intemet) 之 间 ， 根 据 由 系统 管理 员 设 置 的 访 
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问 控制 规则 ， 对 数据 流 进行 过 滤 。 

由 于 防火 墙 置 于 两 个 网 络 之 间 ， 因 此 从 一 个 网 络 到 另 一 个 网 络 的 所 有 数据 流 都 要 流 
经 防火 墙 。 根据 安全 策略 , 防火 墙 对 数据 流 的 处 理 方式 有 3 种 : 四 允许 数据 流通 过 ; © JE 
绝 数 据 流通 过 ; @ 将 这 些 数 据 流 丢弃 。 当 数据 流 被 拒绝 时 ， 防 火 墙 要 向 发 送 者 回复 一 条 
消息 ， 提 示 发 送 者 该 数据 流 已 被 拒绝 。 当 数据 流 被 丢弃 时 ， 防 火 墙 不 会 对 这 些 数 据 包 进 
行 任何 处 理 ， 也 不 会 向 发 送 者 发 送 任何 提示 信息 。 丢 弃 数 据 包 的 做 法 加 长 了 网 络 扫描 所 
花费 的 时 间 ， 发 送 者 只 能 等 待 回应 直至 通信 超时 。 

防火 墙 是 Intemet 安全 的 最 基本 组 成 部 分 。 但 是 ， 我 们 必须 要 牢记 ， 仅 采用 防火 墙 
并 不 能 给 整个 网 络 提供 全 局 的 安全 性 。 对 于 防御 内 部 的 攻击 ， 防 火 墙 显得 无 能 为 力 ， 同 
样 对 于 那些 绕 过 防火 墙 的 连接 (如 某 些 人 通过 拨号 上 网 )， 防 火 墙 则 毫 无 用 武之 地 。 

此 外 ， 网 络 管理 员 在 配置 防火 墙 时 ， 必 须 允 许 一 些 重要 的 服务 通过 ， 否 则 内 部 用 户 
就 不 可 能 接 入 Intemet， 也 不 能 收发 电子 邮件 。 事实 上 ， 虽 然 防火 墙 为 某 些 业务 提供 了 一 
个 通道 ， 但 这 也 为 潜在 的 攻击 者 提供 了 攻击 内 部 网 络 的 机 会 。 攻 击 者 可 能 利用 此 通道 对 
内 部 网 络 发 起 攻击 ， 或 者 注入 病毒 和 木马 。 

由 于 防火 墙 是 放置 在 两 个 网 络 之 间 的 网 络 安全 设备 ， 因 此 以 下 要 求 必须 得 到 满足 : 

e 所 有 进出 网 络 的 数据 流 都 必须 经 过 防火 墙 。 

e 只 允许 经 过 授权 的 数据 流通 过 防火 墙 。 

e 防火 墙 自身 对 入 侵 是 免疫 的 。 

注意 : 以 上 要 求 仅 是 防火 墙 设计 的 基本 目标 。 防 火 墙 设计 不 可 能 做 到 万 无 一 失 ， 它 
有 可 能 存在 安全 漏洞 。 但 是 ， 防 火 墙 在 设计 的 某 个 细节 上 出 现 足 忽 并 不 意味 着 此 防火 墙 
不 可 用 ， 只 能 说 使 用 了 一 个 安全 性 较 差 的 防火 墙 。 内 部 网 络 之 所 以 需要 防火 墙 的 保护 ， 
是 因为 内 部 网 络 的 大 多 数 主 机 不 具备 抵抗 已 知 攻击 的 能 力 。 在 抵御 攻击 方面 ， 防 火 墙 具 
有 不 可 替代 的 优势 。 

防火 墙 不 是 一 台 普 通 的 主机 , 它 自身 的 安全 性 要 比 普通 主机 更 高 。 虽 然 NIS (Network 
Information Service), rlogin 等 服务 能 为 普通 网 络 用 户 提供 非常 大 的 便利 ， 但 是 应 严禁 防 
火 墙 为 用 户 提供 这 些 危险 的 服务 。 因 此 ， 那 些 与 防火 墙 的 功能 实现 不 相关 但 又 可 能 给 防 
火 墙 自身 带 来 安全 威胁 的 网 络 服务 和 应 用 程序 ， 都 应 当 从 防火 墙 中 剥离 出 去 。 

此 外 ， 网 络 管理 员 在 配置 防火 墙 时 所 采用 的 默认 安全 策略 是 : 凡是 没有 明确 “人 允许 
的 ”服务 ,一律 都 是 “禁止 的 ”。 防 火 墙 的 管理 员 不 一 定 比 普通 的 系统 管理 员 高 明 , 但 他 
们 对 网 络 的 安全 性 更 加 敏感 。 普 通 的 用 户 只 关心 自己 的 计算 机 是 否 安全 ， 而 网 络 管理 员 
关注 的 是 整个 网 络 的 安全 。 网 络 管理 员 通 过 对 防火 墙 进行 精心 配置 ， 可 以 使 整个 网 络 获 
得 相对 较 高 的 安全 性 。 

众所周知 , 防火 墙 能 够 提高 内 部 网 络 的 安全 性 , 但 这 并 不 意味 着 主机 的 安全 不 重要 。 
即使 防火 墙 密 不 透风 ， 且 网 络 管理 员 的 配置 操作 从 不 出 错 ， 网 络 安全 问题 也 依然 存在 ， 
因为 Intemet 并 不 是 安全 风险 的 唯一 源泉 ， 有 些 安全 威胁 就 来 自 网 络 内 部 。 内 部 黑客 可 
能 从 网 络 内 部 发 起 攻击 ， 这 是 一 种 更 加 严重 的 安全 风险 。 除 内 部 攻击 之 外 ， 外 部 攻击 者 
也 企图 穿越 防火 墙 攻 入 内 部 网 络 。 例 如 ， 黑 客 可 以 通过 拨号 经 调制 解 调 器 池 进 入 网 络 ， 
并 从 网 络 内 部 对 防火 墙 和 主机 发 起 攻击 。 因 此 ， 必 须 对 内 部 主机 施加 适当 的 安全 策略 ， 
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以 加 强 对 内 部 主机 的 安全 防护 。 也 就 是 说 ， 在 采用 防火 墙 将 内 部 网 络 与 外 部 网 络 加 以 隔 
离 的 同时 ， 还 应 确保 内 部 网 络 中 的 关键 主机 具有 足够 的 安全 性 。 
一 般 来 说 ， 防 火 墙 由 几 个 部 分 构成 。 在 图 12-1 中 ,“ 过 滤器 ”用 来 阻 断 某 些 类 型 的 
过 滤器 过 滤器 数据 传输 。 网 关 则 由 一 台 或 几 台 机 器 构成 ， 用 来 
提供 中 继 服务 ， 以 补偿 过 滤器 带 来 的 影响 。 把 网 
关 所 在 的 网 络 称 做 “ 非 军事 区 ”(Demilitarized 
内 部 网 络 (网 关 ) 外 部 网 络 Zone, DMZ). DMZ 中 的 网 关 有 时 会 得 到 内 部 网 
关 的 支援 。 通 常 ， 网 关 通 过 内 部 过 滤器 与 其 他 内 
图 12.1 防火 墙 示意 图 部 主机 进行 开放 的 通信 。 在 实际 情况 下 ， 不 是 省 
略 了 过 滤器 就 是 省 略 了 网 关 ， 有 具体 情况 因 防火 墙 
的 不 同 而 异 。 一 般 来 说 ， 外 部 过 滤器 用 来 保护 网 关 免 受 侵害 ， 而 内 部 过 滤器 用 来 防备 因 
网 关 被 攻破 而 造成 恶果 。 单 个 或 两 个 网 关 都 能 够 保护 内 部 网 络 免 遭 攻击 。 通 常 把 暴露 在 
外 的 网 关 主 机 称 做 堡垒 主机 。 目 前 市 场 上 常见 的 防火 墙 都 有 3 个 或 3 个 以 上 的 接口 ， 同 
时 发 挥 了 两 个 过 滤器 和 网 关 的 功能 ， 通 过 不 同 的 接口 实现 DMZ 区 和 内 部 网 络 的 划分 。 
从 某 种 角度 看 ， 这 种 方式 使 防火 墙 的 管理 和 维护 更 加 方便 ， 但 是 一 旦 防火 墙 受到 攻击 ， 
DMZ 和 内 部 网 络 的 安全 性 同时 失去 保障 。 所 以 安全 性 与 易 用 性 往往 相互 矛盾 , 关键 在 于 
使 用 者 的 取舍。 
实质 上 , 防火 墙 就 是 一 种 能 够 限制 网 络 访问 的 设备 或 软件 。 它 可 以 是 一 个 硬件 的 “ 盒 
T”, 也 可 以 是 一 个 “软件 ” 今天 ， 许 多 设备 中 均 含 有 简单 的 防火 墙 功能 ， 如 路 由 器 、 
调制 解 调 器 、 无 线 基站 、IP 交换 机 等 。 许 多 流行 的 操作 系统 中 也 含有 软件 防火 墙 。 它 们 
可 以 是 Windows 上 运行 的 客户 端 软件 ， 也 可 能 是 在 UNIX 内 核 中 实现 的 一 系列 过 滤 
规则 。 
现在 市 场 上 销售 的 防火 墙 的 质量 都 非常 高 。 自 Internet 诞生 以 来 ， 防 火 墙 技术 取得 
了 长 足 的 进步 。 用 户 可 以 购买 防火 墙 ， 也 可 以 采用 免费 软件 自己 动手 构造 一 个 软件 防火 
墙 。 但 是 ， 购 买 专业 防火 墙 会 有 很 多 好 处 : 第 一 ， 防 火 墙 厂 商 提 供 的 接口 会 更 多 、 更 全 ; 
第 二 ， 过 滤 深 度 可 以 定制 ， 甚 至 可 以 达到 应 用 级 的 深度 过 滤 ; 第 三 ， 可 以 获得 厂商 提供 
的 技术 支持 服务 。 而 用 户 自行 构造 的 软件 防火 墙 往往 不 具备 以 上 优势 。 
22 ”防火 墙 的 类 型 和 结构 


防火 墙 从 诞生 至 今 ， 经 过 了 好 几 代 的 发 展 ， 现 在 的 防火 墙 已 经 与 最 初 的 防火 墙 大 不 
相同 了 。 防 火 墙 理论 仍 在 不 断 完 善 ， 防 火 墙 功能 也 随 着 硬件 性 能 的 提升 而 不 断 增强 。 最 
初 的 防火 墙 依附 于 路 由 器 ， 它 只 是 路 由 器 中 的 一 个 过 滤 模块 。 后 来 ， 随 着 过 滤 功能 的 完 
善 和 过 滤 深 度 的 增加 ， 防 火 墙 逐 步 从 路 由 器 中 分 离 出 来 ， 成 为 一 个 独立 的 设备 。 目 前 的 
防火 墙 甚至 集成 VPN 及 IDS 等 功能 ， 防 火 墙 在 网 络 安全 中 扮演 的 角色 越 来 越 多 ， 地 位 
也 越 来 越 重要 。 

迄今 ， 防 火 墙 的 发 展 经 历 了 近 30 年 的 时 间 。 第 一 代 防 火 墙 始 于 1985 年 前 后 ， 它 几 
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平 与 路 由 器 同时 出 现 ， 由 Cisco 的 IOS 软件 公司 研制 。 这 一 代 防 火 墙 称 为 包 过 滤 防 火 墙 。 
直到 1988 £, DEC 公司 的 Jeff Mogul 根据 自己 的 研究 ， 才 发 表 了 第 一 篇 描述 有 关 包 过 
滤 防 火 墙 过 滤 过 程 的 文章 。 

在 1989 一 1990 年 前 后 , AT&T 贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 率先 提 
出 了 基于 电路 中 继 的 第 二 代 防 火 墙 结构 ， 此 类 防火 墙 被 称 为 电路 级 网 关 防火 墙 。 但 是 ， 
他 们 既 没 有 发 表 描 述 这 一 结构 的 任何 文章 ， 也 没有 发 布 基于 这 一 结构 的 任何 产品 。 

第 三 代 防 火 墙 结构 是 在 20 世纪 80 年 代 末 和 20 世纪 90 年 代 初 由 Purdue University 
的 Gene Spafford, AT&T 贝尔 实验 室 的 Bill Cheswick 和 Marcus Ranum 分 别 研究 和 开发 
的 。 这 一 代 防 火 墙 被 称 为 应 用 级 网 关 防 火 墙 。 在 1991 年 ，Ranum 的 文章 引起 了 人 们 的 
广泛 关注 。 此 类 防火 墙 采用 了 在 堡垒 主机 运行 代理 服务 的 结构 。 根据 这 一 研究 成 果 , DEC 
公司 推出 了 第 一 个 商用 产品 SEAL 

大 约 在 1991 年 , Bill Cheswick 和 Steve Bellovin 开始 了 对 动态 包 过 滤 防 火 墙 的 研究 。 
1992 年 ， 在 USC 信息 科学 学 院 工 作 的 Bob Braden 和 Annette DeSchon 开始 研究 用 于 
“Visas” 系 统 的 动态 包 过 滤 防 火 墙 ， 后 来 它 演变 为 目前 的 状态 检测 防火 墙 。1994 年 ， 以 
色 列 的 Check Point Software 公司 推出 了 基于 第 四 代 结 构 的 第 一 个 商用 产品 。 

关于 第 五 代 防火 墙 ， 目 前 尚未 有 统一 的 说 法 ， 关 键 在 于 目前 还 没有 出 现 获 得 广泛 认 
可 的 新 技术 。 一 种 观点 认为 ， 在 1996 年 由 Global Internet Software Group 公司 的 首席 科 
学 家 Scott Wiegel 开始 启动 的 内 核 代 理 结 构 〈Kernel Proxy Architecture) 研究 计划 属于 第 
五 代 防 火 墙 。 还 有 一 种 观点 认为 ， 在 1998 年 由 NAI 公司 推出 的 自 适应 代理 (Adaptive 
Proxy) 技术 给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ， 可 以 称 之 为 第 五 代 防 火 墙 。 


12.2.1 防火 墙 分 类 


根据 防火 墙 在 网 络 协议 栈 中 的 过 滤 层 次 不 同 ， 通 常 把 防火 墙 分 为 3 种 : 包 过 滤 防 火 
墙 、 电 路 级 网 关 防 火 墙 和 应 用 级 网 关 防 火 墙 。 每 种 防火 墙 的 特性 均 由 它 所 控制 的 协议 层 
决定 。 在 后 面 更 加 详细 的 论述 中 ， 会 发 现 这 种 分 类 其 实 非常 模糊 。 例 如 ， 包 过 滤 防 火 墙 
运行 于 他 层 , BECURI TCP 信息 ， 而 这 一 操作 又 发 生 在 电路 层 。 对 于 某 些 应 用 
级 网 关 ， 由 于 设计 原理 自身 就 存在 局 限 性 ， 因 此 它们 必须 使 用 包 过 滤 防 火 墙 的 某 些 
功能 。 

防火 墙 所 能 提供 的 安全 保护 等 级 与 其 设计 结构 息息相关 。 一 般 来 讲 ， 大 多 数 市 面 上 
销售 的 防火 墙 产 品 包 含 以 下 一 种 或 多 种 防火 墙 结构 : 

。 静态 包 过 滤 
电路 级 网 关 
应 用 层 网 关 
状态 检查 包 过 滤 
切换 代理 
ZAM 
防火 墙 对 开放 系统 互 连 (Open System Interconnection, OSI) 模型 中 各 层 协议 所 产生 
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的 信息 流 进行 检查 。 要 了 解 防火 墙 是 哪 种 类 型 的 结构 ， 关 键 是 要 知道 防火 墙 工作 于 OSI 
模型 的 哪 一 层 上 。 图 12-2 给 出 了 OSI 模型 与 防火 墙 类 型 的 关系 。 一 般 来 说 ， 防 火 墙 工作 
于 OSI 模型 的 层次 越 高 ， 其 检查 数据 包 中 的 信息 就 越 多 ， 因 此 防火 墙 所 消耗 的 处 理 器 工 
作 周 期 就 越 长 。 防 火 墙 检查 的 数据 包 越 靠近 OSI 模型 的 上 层 ， 该 防火 墙 结构 所 提供 的 安 
全 保护 等 级 就 越 高 ， 因 为 在 高 层 上 能 够 获得 更 多 的 信息 用 于 安全 决策 。 


OSI 模型 TCP/IP 模 型 
应 用 级 网 关 应 用 层 
| FTP | Telnet} SMTP | 其 他 
电路 级 网 关 | | 会 话 层 TCP UDP 
传输 层 IP 
k 
mitë nez 
链 路 层 以 太 网 | FDDI | X.25 | 其 他 
物理 层 


图 12-2 OST 模型 与 防火 墙 类 型 的 关系 


TCP/IP 模型 与 OSI 模型 之 间 的 对 应 关系 如 图 12-2 所 示 。 从 图 中 可 以 看 出 , OSI 模型 
与 TCP/IP 模型 之 间 并 不 存在 一 一 对 应 的 关系 。 防 火 墙 通常 建立 在 TCP/IP 模型 基础 上 。 
为 了 更 深入 地 考察 防火 墙 的 结构 ， 下 面 首先 看 一 下 IP 数据 包 的 构成 。IP 数据 包 结构 如 
图 12-3 所 示 ， 它 由 以 下 几 个 部 分 组 成 : 

e IP 头 

e TCP 头 

e 应 用 级 头 

e 数据 / 净 荷 头 

12-4 和 图 12-5 详细 描述 了 IP SLA TCP 头 包含 的 数据 信息 。 


源 /目的 也 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 |。 净 荷 | 


IP 头 TCP 头 应 用 级 头 数据 
12-3 ”数据 包 结构 


o [4 8 |12 |16 |20 [24 Em 
1 | 版 本 | IHL | 服务 类 型 | ”整个 数据 包 长 度 
2 识别 符 标志 | ”分 段 偏 移 值 
3 | 生存 时 间 协议 头 之 校 验 和 
4 数据 源 地 址 
5 
6 


Header 


数据 目的 地 址 
选项 填充 
数据 从 这 儿 开 始 

12-4 Pp 首部 数据 段 


Words 


330 


Eee 第 12 章 防火 墙 技术 msm 


[0 [4 Js [12 |16 |20 124 |28 | 
1 数据 源 端 吕 目的 端口 
2 序列 号 
13 应 答 号 5 
三 | 4 | 偏 移 值 | 保留 位 | 标志 位 视窗 
5 校 验 和 紧急 指针 
6 选项 填充 
数据 从 这 儿 开始 


图 12-5 TCP 头 部 数据 段 


在 后 面 的 讨论 中 , 不 可 避免 地 要 提 到 UNIX 操作 系统 和 程序 。Internet 上 许多 主机 和 
服务 器 上 运行 的 都 是 UNIX 或 Linux 操作 系统 ， 许 多 应 用 级 网 关 也 采用 UNIX 来 实现 。 
因此 ， 下 面 将 结合 UNIX 或 Linux 系统 下 防火 墙 的 实现 ， 对 某 些 类 型 的 防火 墙 进行 深入 
讨论 。 


12.2.2 ”网 络 地址 转换 


由 于 亚洲 地 区 不 是 Intemet 的 发 源 地 ， 因 此 全 球 IP 地 址 分 配 机 构 为 亚洲 地 区 分 配 的 
IP 地址 很 少 , 亚洲 国家 的 了 P 地 址 资源 相对 匮乏 。 中 国 在 IPv4 AY IP 地址 的 供需 上 已 严重 
失衡 。 在 使 用 IPv4 编 址 方案 的 情况 下 ， 人 们 已 经 提出 了 解决 地 址 紧缺 的 一 些 方法 ， 如 无 
类 域 间 路 由 (CIDR)、 可 变 长 子 网 掩 码 CVLSM) 及 专用 地 址 加 网 络 地 址 转换 (Network 
Address Translation，NAT) 等 。 正 因为 如 此 ，NAT 已 经 成 为 包 过 滤 网 关 类 防火 墙 的 一 项 
基本 功能 。 使 用 NAT 的 防火 墙 具 有 另 一 个 优点 ， 它 可 以 隐藏 内 部 网 络 的 拓扑 结构 ， 这 在 
某 种 程度 上 提升 了 网 络 的 安全 性 。 

从 不 同 的 角度 去 理解 这 一 概念 ，NAT 的 分 类 也 有 所 不 同 。 例如， 有 些 人 把 源 网 络 地 
址 转换 (SNAT) 和 目标 地 址 转换 (DNAT) 的 概念 理解 为 静态 (Static) 网 络 地 址 转换 和 
动态 (Dynamic) 网 络 地址 转换 ， 而 有 些 人 却 理解 为 源 〈Source) 网 络 地 址 转换 和 目标 
(Destination) 网 络 地 址 转换 。 此 外 ， 还 存在 端口 地 址 转换 (PAT) 的 概念 。 

所 谓 静态 网 络 地 址 转换 ， 是 指 在 进行 网 络 地 址 转换 时 ， 内 部 网 络 地 址 与 外 部 的 
Internet IP 地 址 是 一 一 对 应 的 关系 。 例 如 ， 将 内 部 地 址 192.168.1.100 对 应 转换 到 
202.112.58.100。 在 这 种 情况 下 ， 不 需要 NAT 盒 在 地 址 转换 时 记录 转换 信息 。 

动态 网 络 地 址 转换 则 不 同 ， 可 用 的 Internet IP 地 址 限定 在 一 个 范围 内 ， 而 内 部 网 络 
地 址 的 范围 大 于 Internet IP 地 址 的 范围 。 在 进行 地 址 转换 时 ,如果 Internet IP 地 址 都 被 占 
用 ， 此 时 从 内 部 网 络 地 址 发 出 的 请 求 会 因为 无 地 址 可 分 配 而 遭 到 拒绝 。 显 然 ， 这 种 情形 
无 法 满足 实际 应 用 系统 的 需求 ， 所 以 才 出 现 了 所 谓 的 端口 地 址 转换 (PAT) 的 概念 。 

PAT 是 指 在 进行 网 络 地 址 转换 时 ， 不 仅 网 络 地 址 发 生 改 变 ， 而 且 协 议 端 口 也 会 发 生 
改变 。 简 单 地 说 ，PAT 在 以 地 址 为 唯一 标识 的 动态 网 络 地 址 转换 基础 上 ， 又 增加 了 源 端 
口 或 目的 端口 号 作为 标识 的 一 部 分 。 在 进行 地 址 转换 时 ，NAT 优先 进行 。 当 合法 IP 地 
址 分 配 完 后 ， 对 于 新 来 的 连接 请 求 ， 会 重复 使 用 前 面 已 经 分 配 过 的 合法 P. kk NAT 
的 数据 包 通 过 端口 号 加 以 区 分 。 由 于 可 以 使 用 的 端口 范围 为 1024~65535， 因 此 一 个 合 
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法 下 可 以 对 应 于 6 万 多 个 NAT 连接 请 求 ， 通 常 可 以 满足 几 千 个 用 户 的 需求 。 

当 内 部 用 户 使 用 专用 地 址 访问 Internet 时 , SNAT 必须 将 IP 头 部 中 的 数据 源 地 址 ( 专 
用 IP 地 址 ) 转换 成 合法 的 Internet 地 址 ， 因 为 按照 IPv4 编 址 的 规定 ， 目 标 地 址 为 专用 地 
址 的 数据 包 在 Internet 上 是 无 法 传输 的 。 

当 Internet 用 户 访问 防火 墙 后 面 的 服务 器 所 提供 的 服务 时 , DNAT 必须 将 数据 包 中 的 
目的 地 址 转换 成 服务 器 的 专用 地 址 ， 使 合法 的 Intemet IP 地 址 与 内 部 网 络 中 服务 器 的 专 
用 地 址 相对 应 。 内 部 〈 或 专用 ) IP 地 址 的 范围 如 图 12-6 所 示 。 


IP 地 址 范围 总 计 
10.0.0.0~10.255.255.255 224 
172.16.0.0~172.31.255.255 220 
192.68.0.0~192.168.255.255 216 


图 12-6 内 部 (或 专用 ) IP 地 址 的 范围 


静态 网 络 地 址 转换 \ 动 态 网 络 地 址 转换 和 端口 地 址 转换 侧重 于 根据 NAT 的 实现 方式 
对 NAT 进行 分 类 ,而 源 地 址 、 目 标 地 址 转换 侧重 于 根据 数据 流向 进行 分 类 。 静 态 网 络 地 
址 转换 不 需要 维护 地 址 转换 状态 表 ， 功 能 简单 ， 性 能 较 好 。 而 动态 网 络 地 址 转换 和 端口 
地 址 转换 则 必须 维护 一 个 转换 表 ， 以 保证 能 够 对 返回 的 数据 包 进 行 正 确 的 反 向 转换 ， 因 
此 功能 更 强大 ， 但 是 需要 更 多 的 资源 。 普 通 边界 路 由 器 也 能 够 实现 地 址 转换 ， 但 由 于 其 
内 存 资源 有 限 , 在 中 型 网 络 中 使 用 路 由 器 实现 NAT 功能 通常 不 可 靠 。 如 果 使 用 路 由 器 做 
NAT， 那 么 在 运行 一 段 时 间 (通常 为 几 个 小 时 ) 后 ， 路 由 器 的 资源 将 耗 尽 ， 无 法 继续 工 
作 。 所 以 ， 通 常 的 做 法 是 在 防火 墙 上 实现 NAT 功能 。 

在 实践 中 , 实现 NAT 的 路 由 器 配置 如 图 12-7 所 示 。 在 图 中 , 路 由 器 有 两 个 全 地 址 ; 


， 使 用 内 部 IP 地 址 的 内 部 网 络 
| VEN 


— 192.168.10.2 


— 192.168.10.3 ”NAT 路 由 器 


192.18.10.10 < 201.26.7.9 Creme) 


aa | 一 
路 由 器 的 内 部 IP | ;| 路 由 器 的 外 部 IP 
地 址 i 地 址 


图 12-7 实现 NAT 的 路 由 器 配置 
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一 个 是 内 部 IP 地 址 ， 一 个 是 外 部 IP 地址。 外 网 (Intemet) 中 的 主机 通过 外 部 IP 地 址 
201.26.7.9 访问 路 由 器 ， 而 内 网 中 的 主机 则 通过 内 部 IP 地 址 192.168.10.10 访问 路 由 器 。 

这 意味 着 ， 外 网 中 的 主机 永远 只 能 看 到 一 个 IP 地 址 ， 即 路 由 器 的 外 部 IP 地 址 。 当 
数据 包 流 过 路 由 器 时 ， 数 据 包 的 源 地 址 和 目的 地 址 分 别 为 : 

(1) 对 于 所 有 输入 数据 包 ， 不 管 最 终 的 目标 主机 是 内 网 中 的 哪 一 台 机 器 ， 当 数据 包 
进入 内 部 网 络 时 ， 其 目的 地 址 字段 总 包含 NAT 路 由 器 的 外 部 地 址 。 

(2) 对 于 所 有 输出 数据 包 ， 不 管 源 点 主机 是 内 部 网 络 中 的 哪 一 台 机 器 ， 当 数据 包 离 
开 内 部 网 络 时 ， 其 源 地 址 字段 总 包含 NAT 路 由 器 的 外 部 地 址 。 

因此 ，NAT 路 由 器 要 进行 如 下 转换 工作 : 

CL) 对 于 所 有 的 输入 数据 包 ，NAT 路 由 器 用 最 终 目标 主机 的 IP 地 址 替换 数据 包 的 
目的 地 址 ( 即 路 由 器 的 外 部 地 址 )。 

(2) 对 于 所 有 输出 数据 包 ，NAT 路 由 器 用 其 外 部 地 址 替换 数据 包 的 源 地 址 ( 即 发 送 
数据 包 的 内 部 主机 的 全 地址 )。 

NAT 转换 过 程 示例 如 图 12-8 所 示 。 


， 含 内 部 IP 地 址 的 内 部 网 络 


! — 192.168.10.1 : 
| =m 
SS t = a 


| 源 地 址 192.168.10.1 | 。 源 地 址 201.26.7.9 
| NAT 路 由 器 


192.18.10.10 个 201.26.7.9 Ce 


= Em 


EEN.. 目的 地 址 192.168.10.1 ; 目的 地 址 201.26.7.9 
12-8 NAT 转换 过 程 示例 


仔细 研究 会 发 现 ， 对 于 输出 数据 包 ，NAT 的 工作 很 简单 : NAT 路 由 器 只 需 用 NAT 
的 外 部 地 址 来 替换 数据 包 中 的 源 地 址 (内 部 主机 地 址 )。 但 是 ， 对 于 输入 数据 包 ，NAT 
如 何 知道 该 将 此 数据 包 发 给 内 网 中 的 哪 一 台 主 机 呢 ? 要 解决 这 个 问题 NAT 路 由 器 需要 
维护 一 个 转换 表 ， 该 表 将 内 部 主机 的 地 址 映射 到 外 部 主机 的 地 址 。 这 样 ， 一 旦 某 个 内 部 
主机 发 送 一 个 数据 包 给 外 部 主机 ，NAT 路 由 器 就 在 此 转换 表 中 增加 一 个 条 目 。 该 条 目 中 
含有 内 部 主机 的 IP 地 址 及 目标 外 部 主机 的 IP 地 址 。 一 旦 从 外 部 主机 返回 了 一 个 响应 ， 
NAT 路 由 器 便 查询 转换 表 ， 决 定 将 此 响应 数据 包 发 给 内 网 中 的 哪 台 主机 。 为 了 增进 读者 
对 NAT 的 理解 ， 下 面 来 看 一 个 示例 。 

(1) 假设 一 台 内 部 主机 (地 址 为 192.168.10.1) 要 向 外 部 主机 (地 址 为 210.10.20.20) 
发 送 一 个 数据 包 。 该 内 部 主机 将 该 数据 包 发 送 给 内 部 网 络 , 该 数据 包 将 到 达 NAT 路 由 器 。 
此 时 ， 该 数据 包 的 源 地 址 为 192.168.10.1， 而 目的 地 址 为 210.10.20.20。 

(2) NAT 路 由 器 在 转换 表 中 增添 一 个 条 目 ， 如 表 12-1 所 示 。 
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表 12-1 在 转换 表 中 增加 一 个 新 条 目 

转 换 表 
外 部 地 址 
210.10.20.20 


内 部 地 址 
192.168.10.1 


(3) NAT 路 由 器 用 自己 的 地 址 ( 即 201.26.7.9) 替换 数据 包 中 的 源 地 址 ， 并 利用 路 
由 机 制 ,将 此 数据 包 发 送 给 Intemet 上 的 目标 主机 。 此 时 ,该 数据 包 的 源 地 址 为 201.26.7.9， 
而 目的 地 址 为 210.10.20.20。 

(4) Internet 上 的 外 部 路 由 器 处 理 该 数据 包 ， 并 发 回 一 个 响应 数据 包 。 此 时 ， 该 响应 
数据 包 的 源 地 址 为 210.10.20.20， 而 目的 地 址 为 201.26.7.9。 

G) 该 响应 数据 包 到 达 NAT 路 由 器 。 因 为 响应 数据 包 中 的 目的 地 址 与 NAT 路 由 器 
的 地 址 匹配 ， 所 以 NAT 路 由 器 查询 转换 表 ， 以 确认 此 转换 表 中 是 否 含有 外 部 地 址 为 
210.10.20.20 MAA. MA, NAT 路 由 器 找到 了 这 个 条 目 中 含有 的 内 部 主机 地 址 为 
192.168.10.1。 

(6) NAT 路 由 器 用 内 部 主机 地 址 〈 即 192.168.10.1) 替换 数据 包 的 目的 地 址 ， 并 将 
该 分 组 发 给 该 内 部 主机 。 

NAT 路 由 器 的 工作 过 程 如 图 12-9 所 示 。 


192.168.10.1 210.10.20.20 
本 192.168.10.1 201.26.7.9 a 
(m + r= 


源 地 址 :192.168.10.1 一 -一 源 地 址 :201.26.7.9 
目的 地 址 :210.10.20.20 一 ~--. 目 的 地 址 :210.10.20.20 


转换 表 


192.168.10.1 ; 210.10.20.20 
=i m A |_| 
WS Panes = 
aa ae 4 CE 
源 地 址 :210.10.20.20 į 源 地 址 :210.10.20.20 | 
目的 地 址 :192.169.10.1 2 目的 地 址 :210.26.7.9 + 


图 12-9 NAT 路 由 器 的 工作 过 程 


在 此 方案 中 ， 如 果 有 多 个 内 部 主机 同时 与 外 网 的 同一 台 主 机 通信 ，NAT 路 由 器 如 何 
确定 应 该 将 响应 数据 包 发 给 哪 一 台 内 部 主机 呢 ? 要 解决 此 问题 ， 需 要 修改 NAT 转换 表 ， 
添加 几 列 新 的 参数 。 修 改 后 的 NAT 转换 表 如 表 12-2 所 示 。 
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表 12-2 ”修改 后 的 NAT 转换 表 


ET ET 


新 加 列 在 NAT 中 所 起 的 作用 如 下 所 述 。 

(1) 新 加 的 “内 部 端口 ”一 列 数据 标识 内 部 主机 上 的 应 用 程序 所 使 用 的 端口 号 。 对 
于 每 个 应 用 ,该 端口 是 随机 选取 的 。 当 对 应 于 用 户 请 求 的 响应 数据 包 从 外 网 主机 发 回 时 ， 
内 部 主机 需要 知道 该 把 此 响应 递交 给 哪个 应 用 程序 。 这 将 由 内 部 端口 号 确定 。 

(2) 新 加 的 “外 部 端口 ”一 列 数据 标识 某 一 服务 应 用 程序 所 使 用 的 端口 号 。 对 于 给 
定 的 服务 应 用 程序 ， 该 端口 总 是 固定 的 。 例 如 ，HTTP 服务 使 用 80 端口 ， 而 FIP 服务 使 
用 21 端口 ，SMTP 使 用 25 端口 ，POP3 使 用 110 端口 ， 等 等 。 

(3) 新 加 的 “NAT 端口 ”一 列 数 据 是 一 个 依次 递增 的 数字 ， 由 NAT 路 由 器 生成 。 
该 列 数据 与 源 地 址 或 目的 地 址 绝 无 任 何 关系 。 当 外 部 主机 发 回 一 个 响应 数据 包 时 ， 此 列 
中 的 数据 才 起 作用 。 

下 面 将 针对 两 种 情况 讨论 NAT 转换 过 程 。 

(1) 同一 内 部 主机 上 的 多 个 应 用 程序 同时 访问 同一 外 部 主机 。 

当地 址 为 192.168.10.1 的 内 部 主机 要 访问 地 址 为 210.10.20.20 的 外 部 主机 上 的 HTTP 
和 FTP 服务 时 ， 内 部 主机 动态 地 创建 两 个 端口 号 300 和 301， 并 打开 两 个 连接 。 这 两 个 
连接 分 别 与 外 部 主机 上 的 端口 号 80 和 21 相连 。 当 数据 包 从 内 部 主机 传 到 路 由 器 时 , NAT 
路 由 器 将 数据 包 中 的 源 地 址 〈 内 部 主机 地 址 ) 替换 为 NAT 路 由 器 的 地 址 。 此 外 ， 它 还 要 
把 数据 包 的 端口 号 字段 蔡 换 为 14000 和 14001， 并 把 这 些 内 容 添 加 到 NAT 转换 表 中 。 然 
后 ， 它 将 此 数据 包 发 给 地 址 为 210.10.20.20 的 外 部 主机 。 

当 外 部 主机 的 HTTP 服务 器 给 NAT 路 由 器 发 回 一 个 响应 数据 包 时 ，NAT 路 由 器 就 
知道 输入 数据 包 的 目的 端口 号 为 14000。 通 过 查询 NAT 转换 表 ， 它 知道 应 该 将 此 数据 包 
发 送 到 地 址 为 192.168.10.1 的 内 部 主机 的 300 端口 。 同 样 ， 当 从 外 部 主机 的 FTP 服务 器 
上 返回 一 个 响应 时 ，NAT 路 由 器 就 知道 该 数据 包 的 目的 端口 为 14001。 通 过 查询 NAT 转 
换 表 ， 它 知道 应 该 将 此 数据 包 发 送 到 地 址 为 192.168.10.1 的 内 部 主机 的 301 端口 。 

(2) 多 个 内 部 主机 同时 访问 同一 外 部 主机 。 

根据 以 上 讨论 ， 读 者 很 容易 理解 NAT 路 由 器 如 何 处 理 此 类 情况 。 表 12-2 的 第 4 行 
有 一 个 条 目 ， 该 条 目 表明 有 一 个 地 址 为 192.168.10.2 的 内 部 主机 ， 需 要 使 用 26601 端口 
访问 地 址 为 210.10.20.20 的 外 网 主机 上 的 HTTP 服务 。 当 外 部 主机 响应 时 ， 通 过 查询 路 
由 表 ，NAT 路 由 器 将 响应 数据 包 分 发 到 地 址 为 192.168.10.2 的 内 部 主机 的 26601 端口 。 

为 了 完整 地 描述 NAT 存在 的 各 种 情况 ， 在 表 12-2 的 第 5 行 中 ， 给 出 了 另 一 个 内 部 
主机 与 男 一 个 外 部 主机 通信 时 NAT 转换 表 中 所 增加 的 条 目 。 读 者 可 以 自行 分 析 其 工作 
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423 ”静态 包 过 滤器 


静态 包 过 滤 防 火 墙 可 以 采用 路 由 器 上 的 过 滤 模 块 来 实现 ， 而 且 具 有 较 高 的 安全 性 。 
由 于 可 以 直接 使 用 路 由 器 软件 的 过 滤 功 能 ， 无 须 购买 专门 的 设备 ， 因 此 可 以 减少 投资 。 
路 由 器 是 内 部 网 络 接 入 Internet 所 必需 的 设备 ， 每 个 网 络 的 入 口 都 配备 路 由 器 。 直 接 使 
用 路 由 器 软件 作为 过 滤器 , 不 需要 额外 付费 。 当 然 , 用 户 也 可 以 购买 专门 的 包 过 滤 防 火 墙 。 


12.3.1 工作 原理 


顾名思义 ， 静 态 包 过 滤 防 火 墙 采用 一 组 过 滤 规 则 对 每 个 数据 包 进 行 检查 ， 然 后 根据 
检查 结果 确定 是 转发 、 拒 绝 还 是 丢弃 该 数据 包 。 这 种 防火 墙 对 从 内 网 到 外 网 和 从 外 网 到 
内 网 两 个 方向 的 数据 包 进行 过 滤 ， 其 过 滤 规 则 基于 IP 与 TCP/UDP 头 中 的 几 个 字段 。 
图 12-10 说 明了 静态 包 过 滤 防 火 墙 的 设计 思想 。 


受 保 护 地 区 ae 


图 12-10 静态 包 过 滤 防 火 墙 的 设计 思想 
静态 包 过 滤 防 火 墙 的 操作 如 图 12-11 所 示 ， 主 要 实现 如 下 3 个 主要 功能 。 


TTL a fae 


输出 包 输入 包 


接收 每 个 数据 包 ,应 用 规则 ,如 果 规 则 
不 存在 , 则 应 用 默认 规则 


图 12-11 静态 包 过 滤 防 火 墙 的 操作 


(1) 接收 每 个 到 达 的 数据 包 。 

(2) 对 数据 包 采 用 过 滤 规 则 ， 对 数据 包 的 IP 头 和 传输 字段 内 容 进 行 检查 。 如 果 数 据 
包 的 头 信息 与 一 组 规则 匹配 ， 则 根据 该 规则 确定 是 转发 还 是 丢弃 该 数据 包 。 

G) 如 果 没 有 规则 与 数据 包头 信息 匹配 ， 则 对 数据 包 施加 默认 规则 。 默 认 规则 可 以 
丢弃 或 接收 所 有 数据 包 。 默 认 丢弃 数据 包 规则 更 严格 ， 而 默认 接收 数据 包 规则 更 开放 。 
通常 ， 防 火 墙 首先 默认 丢弃 所 有 数据 包 ， 然 后 再 逐个 执行 过 滤 规 则 ， 以 加 强 对 数据 包 的 
过 滤 。 
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静态 包 过 滤 防 火 墙 是 最 原始 的 防火 墙 , 静态 数据 包 过 滤 发 生 在 网 络 层 上 , 也 就 是 OSI 
模型 的 第 3 层 上 ， 如 图 12-12 所 示 。 


应 用 层 
表示 层 
会 话 层 
传输 层 
网 络 层 
链 路 层 
物理 层 


] 
网 络 接口 [网 络 接 口 
I 


内 部 网 络 外 部 网 络 
12-12 工作 于 网 络 层 的 静态 包 过 滤 


对 于 静态 包 过 滤 防 火 墙 来 说 ， 决 定 接收 还 是 拒绝 一 个 数据 包 ， 取 决 于 对 数据 包 中 IP 
头 和 协议 头等 特定 域 的 检查 和 判定 。 这 些 特定 域 包括 : 数据 源 地 址 ; @ 目 的 地 址 ; @ 应 
用 或 协议 ; @ 源 端口 号 ; OA MAS. HAS AMIE IP 数据 包 结构 如 图 12-13 所 示 。 


| 源 / 目 的 IP 地 址 | 源 / 目 的 端口 | 应 用 状态 和 数据 流 | 净 荷 | 


L IP 头 [rex] 应 用 级 头 数据 


mrien 
12-13 APAS TIED KA P 数据 包 结构 


在 每 个 包 过 滤器 上 ， 安 全 管理 员 要 根据 企业 的 安全 策略 定义 一 个 表单 ， 这 个 表单 也 
被 称 为 访问 控制 规则 库 。 该 规则 库 包含 许多 规则 ， 用 来 指示 防火 墙 应 该 拒绝 还 是 接收 该 
数据 包 。 在 转发 某 个 数据 包 之 前 ， 包 过 滤器 防火 墙 将 IP 头 和 TCP 头 中 的 特定 域 与 规则 
库 中 的 规则 逐条 进行 比较 。 防 火 墙 按照 一 定 的 次 序 扫描 规则 库 ， 直 到 包 过 滤器 发 现 一 个 
特定 域 满足 包 过 滤 规 则 的 特定 要 求 时 ， 才 对 数据 包 做 出 “接收 ”或 “丢弃 ”的 判决 。 如 
果 包 过 滤器 没有 发 现 一 个 规则 与 该 数据 包 匹配 ， 那 么 它 将 对 其 施加 一 个 默认 规则 。 该 默 
认 规 则 在 防火 墙 的 规则 库 中 有 明确 的 定义 ， 一 般 情 况 下 防火 墙 将 不 满足 规则 的 数据 包 
EF. 

在 包 过 滤器 所 使 用 的 默认 规则 的 定义 上 ， 有 两 种 思路 : OA DEH; OREA—. 
“容易 使 用 ”的 倡导 者 所 定义 的 默认 规则 是 “允许 一 切 ” 即 除非 该 数据 流 被 一 个 更 高 级 
规则 明确 “拒绝 ”， 和 否则 该 规则 允许 所 有 数据 流通 过 。“ 安 全 第 一 ”的 倡导 者 所 定义 的 默 
认 规 则 是 “拒绝 一 切 ”， 即 除非 该 数据 流 得 到 某 个 更 高 级 规则 明确 “允许 ”， 和 否则 该 规则 
将 拒绝 任何 数据 包 通 过 。 

在 静态 包 过 滤 规 则 库 内 ， 管 理 员 可 以 定义 一 些 规则 决定 哪些 数据 包 可 以 被 接收 ， 哪 
些 数据 包 将 被 拒绝 。 管 理 员 可 以 针对 IP 头 信息 定义 一 些 规则 ， 以 拒绝 或 接收 那些 发 往 或 
来 自 某 个 特定 IP 地 址 或 某 一 P 地 址 范围 的 数据 包 。 管 理 员 可 以 针对 TCP 头 信息 定义 一 
些 规 则 ， 用 来 拒绝 或 接收 那些 发 往 或 来 自 某 个 特定 服务 端口 的 数据 包 。 
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例如 ， 管 理 员 可 以 定义 一 些 规则 ， 人 允许 或 禁止 某 个 IP 地 址 或 某 个 IP 地 址 范围 的 用 
户 使 用 HTTP 服务 浏览 受 保护 的 Web 页面。 同样， 管理 员 也 可 以 定义 一 些 规则 ， 人 允许 某 
个 可 信 的 下 或 二 地址 范围 内 的 用 户 使 用 SMTP 服务 访问 受 保护 的 Mail 服务 器 上 的 文件 。 
管理 员 还 可 以 定义 一 些 规则 ， 封 堵 某 个 IP 地 址 或 IP 地 址 范围 内 的 用 户 访问 某 个 受 保护 
AY FTP 服务 器 。 图 12-14 为 一 个 静态 包 过 滤 防 火 墙 规则 表 。 该 过 滤 规 则 表决 定 是 允许 转 
发 还 是 丢弃 数据 包 。 

根据 该 规则 表 ， 静 态 包 过 滤 防 火 墙 采取 的 过 滤 动 作 如 下 : 

(1) 拒绝 来 自 130.33.0.0 的 数据 包 ， 这 是 一 种 保守 策略 。 

(2) 拒绝 来 自 外 部 网 络 的 Telnet 服务 〈 端 口号 为 23 ) 的 数据 包 。 

G) 拒绝 试图 访问 内 网 主机 193.77.21.9 的 数据 包 。 

(4) 禁止 HTTP 服务 〈 端 口号 为 80) 的 数据 包 输出 ， 此 规则 表明 ， 该 公司 不 允许 员 
工 浏览 Internet。 

包 过 滤器 的 工作 原理 非常 简单 ， 它 根据 数据 包 的 源 地 址 、 目 的 地 址 或 端口 号 确定 是 
否 丢弃 数据 包 。 也 就 是 说 ， 判 决 仅 依赖 于 当前 数据 包 的 内 容 。 根 据 所 用 路 由 器 的 类 型 ， 
过 滤 可 以 发 生 在 网 络 入 口 处 ， 也 可 以 发 生 在 网 络 出 口 处 ， 或 者 在 入 口 和 出 口 同时 对 数据 
包 进 行 过 滤 。 网 络 管理 员 可 以 事先 准备 好 一 个 访问 控制 列表 ， 其 中 明确 规定 哪些 主机 或 
服务 是 可 接受 的 ， 哪 些 主机 或 服务 是 不 可 接受 的 。 采 用 包 过 滤器 ， 能 够 非常 容易 地 做 到 
在 网 络 层 上 人 允许 或 拒绝 主机 的 访问 。 例如， 可 以 做 到 允许 主机 4 和 主机 B EW, RAJE 
绝 除 主机 4 之 外 的 其 他 主机 访问 主机 B。 


包 过 滤器 


Internet 内 部 网 络 
接口 1 | 接口 2 


Interface Source IP Source port | Destination IP | Destinatiion port 


1 130.33.0.0 bg * 


* * * 23 


* * 193.77. 21.9 * 


1 
2 * * * 80 


12-14 ”静态 包 过 滤 防 火 墙 规则 表 


包 过 滤 防 火 墙 的 配置 分 3 步 进行 : 第 一 ， 管 理 员 必须 明确 企业 网 络 的 安全 策略 ， 即 
必须 搞 清 楚 什么 是 允许 的 、 什 么 是 禁止 的 ， 第 二 ， 必 须 用 逻辑 表达 式 清楚 地 表述 数据 包 
的 类 型 ， 第 三 ， 这 也 是 最 难 的 一 步 ， 必 须 用 设备 提供 商 可 支持 的 语法 重 写 这 些 表 达 式 。 

根据 静态 包 过 滤 的 工作 原理 ， 可 以 很 容易 地 构建 一 个 静态 包 过 滤 防 火 墙 。 实 际 上 ， 
制定 精确 的 静态 包 过 滤 规 则 可 能 更 需要 花费 一 番 心 思 。 由 于 每 个 网 站 的 安全 策略 都 不 一 
样 ， 因 此 不 可 能 为 每 个 网 站 使 用 的 包 过 滤器 设置 精确 的 过 滤 规 则 。 在 本 节 中 ， 仅 提供 几 
个 合理 的 规则 配置 样本 供 大 家 参考 。 表 12-3 和 表 12-4 提供 了 两 个 配置 样本 ， 它 们 部 分 
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来 自 美国 计算 机 应 急 响 应 中 心 (CERT) 的 建议 书 。 最 后 一 条 规则 的 作用 是 阻止 所 有 其 他 
UDP 服务 ， 对 这 条 规则 人 们 是 有 争议 的 。 
表 12-3 某 大 学 的 防火 墙 过 滤 规 则 设置 


action sre port dest ca comment 


allow | secondary - our-dns allow secondary nameserver access 


block |* pi id teal no other DNS zone transfers 
allow |* © - = p permit UDP DNS queries 


allow |ntp.outside |123 |ntp.inside UDP |ntp time access 


block |* 只 ia UDP | no access to our tftpd 

block |* > id the link service is often misused 
block |* i a no TCP RPC and .… 

block |* * * no UDP RPC and no ... 

block |* + i NFS. This is hardly a guarantee 
block |* is + TCP NFS is coming: exclude it 
block |* ” * 

block |* + a 

block |* * * 

block |* * + 

block |* = 4 

block |* w es 

allow |* * adminnet encrypted access to transcript mgr 


block |* a adminnet thes nothing else 
block |pclab-net = ag pel anon. students in pclab can’t go outside 


block |pclab-net * + UDP |... not even with TFTP and the like! 
allow |* = d TCP |all other TCP is OK 
block |* * suppress other UDP for now 


表 12-4” 某 公司 的 防火 墙 过 滤 规 则 设置 


* 


action sre port dest comment 
allow |* i mailgate fe] inbound mail access 
allow |* * mailgate access to our DNS 
allow 2 mailgate secondary nameserver access 
allow |* = mailgate incoming telnet access 
allow 123 ntp.inside external time source 
allow id a outgoing TCP packets are OK 
allow |* inside-net retum ACK packets are OK 
block |* z * nothing else is OK 
block |* * * block other UDP, too 


339 


mm 网 络 安全 一 一 技术 与 实践 (第 2 版 ) Eee 


今天 的 校园 网 络 趋向 于 对 Intemet 连接 采取 开放 的 安全 策略 。 出 于 安全 的 考虑 ， 仍 
然 需要 对 某 些 危险 的 服务 施加 限制 ， 如 NFS、TFTP 和 Telnet 等 。 虽 然 这 些 服务 有 时 会 
给 人 们 的 工作 和 学 习 带 来 方便 ， 但 是 它们 会 带 来 更 大 的 安全 隐患 ， 因 此 尽量 减少 对 外 提 
供 这 些 服务 。 在 表 12-3 中 ， 假 设 大 学 中 有 一 个 实验 室 PC Lab， 若 允许 该 实验 室 的 主机 
访问 Intemet， 可 能 会 带 来 安全 风险 。 因 此 ， 在 网 络 管理 员 在 配置 防火 墙 规 则 时 ， 应 禁止 
该 实验 室 的 主机 访问 Intemet。 还 有 一 条 规则 允许 通过 HTTPS 服务 访问 管理 域 中 的 计算 
机 。 该 服务 采用 443 端口 ， 需 要 强 认证 和 加 密 措施 。 

与 校园 网 络 不 同 ， 许 多 公司 或 家 庭 的 网 络 希望 禁止 大 多 数 来 自 Intemet 的 访问 ， 而 
允许 大 多 数 去 往 Intemet 的 连接 请 求 。 在 这 类 网 络 中 ， 可 以 让 一 个 网 关 接 收 进入 内 网 的 
邮件 ， 并 为 公司 的 内 部 主机 提供 域名 解析 服务 。 在 表 12-4 中 ， 采 用 了 一 条 规则 禁止 23 
号 端口 上 的 Telnet 服务 。 如 果 公司 的 邮件 服务 器 和 DNS 服务 器 交 由 ISP 托管 ,那么 可 以 
进一步 简化 这 些 规则 。 


123.2 ”安全 性 讨论 


因为 防火 墙 对 这 些 规则 的 检查 是 按 顺 序 进 行 的 ， 所 以 决定 包 过 滤 规 则 的 先后 次 序 是 
一 项 很 困难 的 事情 。 在 把 包 过 滤 规 则 输入 到 规则 库 时 ， 管 理 员 必 须要 特别 小 心 。 即 使 管 
理 员 已 经 按照 一 定 的 先后 次 序 创建 了 规则 ， 包 过 滤器 还 存在 先天 的 缺陷 : 包 过 滤器 仅 检 
查 数据 的 IP KA TCP k, 它 不 可 能 区 分 真实 的 IP 地 址 和 伪造 的 IP 地 址 。 若 一 个 伪造 的 
IP 地 址 满足 包 过 滤 规 则 ， 并 同时 满足 其 他 规则 的 要 求 ， 则 该 数据 包 将 被 允许 通过 。 

假设 管理 员 精 心 创建 了 一 条 规则 ， 该 规则 指示 数据 包 过 滤器 丢弃 所 有 来 自 未 知 源 地 
址 的 数据 包 。 这 条 包 过 滤 规 则 虽然 会 极 大 地 增 大 黑客 访问 某 些 可 信服 务 器 的 难度 ， 但 并 
不 能 彻底 杜绝 这 类 访问 。 黑 客 只 须 用 某 个 已 知 可 信 客 户 机 的 源 地 址 蔡 代 恶意 数据 包 的 实 
际 源 地址 就 可 以 达到 目的 。 把 这 种 形式 的 攻击 称 为 IP 地址 欺骗 (IP Address Spoofing )。 
用 IP 地 址 欺骗 攻击 来 对 付 包 过 滤 防 火 墙 是 非常 有 效 的 。 美 国 计 算 机 应 急 响 应 中 心 
(CERT) 已 经 收 到 大 量 P 欺骗 攻击 的 报告 ,报告 显示 许多 攻击 已 成 功 侵 入 网 络 。 尽 管 包 
过 滤 防 火 墙 的 性 能 非常 具有 吸引 力 ， 但 是 包 过 滤 防 火 墙 的 固有 结构 决定 了 其 安全 性 不 够 
高 ， 那 些 水 平 高 超 的 黑客 有 可 能 穿越 包 过 滤 防 火 墙 而 进入 受 保护 的 内 部 网 络 。 

同样 ， 我 们 注意 到 静态 包 过 滤 防 火 墙 并 没有 对 数据 包 做 太 多 的 检查 。 请 记 住 ， 静 态 
包 过 滤 防 火 墙 仅 检 查 那 些 特定 的 协议 头 信息 : @ 源 /目的 卫 地 址 ; © 源 /目的 端口 号 CAR 
务 )。 因 此 ， 黑 客 可 将 恶意 的 命令 或 数据 隐藏 在 那些 未 经 检查 的 头 信息 中 。 更 危险 的 是 ， 
由 于 静态 包 过 滤 防 火 墙 没有 检查 数据 包 的 净 荷 部 分 ， 使 黑客 有 机 会 将 恶意 的 命令 或 数据 
隐藏 到 数据 净 荷 中 。 这 一 攻击 方法 通常 被 称 做 “ 隐 信 道 攻击 ”(Covert Channel Attack). 
目前 ， 这 种 形式 的 攻击 越 来 越 多 ， 必 须 加 倍 小 心 。 

最 后 需 说 明 的 是 ， 包 过 滤 防 火 墙 并 没有 “状态 感知 ”(State Aware) 的 能 力 。 管 理 员 
必须 为 某 个 会 话 的 两 端 都 配置 相应 的 规则 以 保护 服务 器 。 例 如 ， 要 允许 用 户 访问 某 个 受 
保护 的 Web 服务 器 ， 管 理 员 必须 创建 一 条 规则 ， 该 规则 既 允 许 来 自 远 端 客户 机 的 请 求 进 
入 内 部 网 络 ， 又 允许 来 自 Web 服务 器 的 响应 去 往 Intermet。 值 得 注意 的 是 ， 现 在 人 们 在 
使 用 FTP 和 E-mail 等 服务 时 ， 需 要 静态 包 过 滤 防 火 墙 能 够 动态 地 为 这 些 服 务 分 配 端口 ， 
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所 以 管理 员 必 须 为 静态 包 过 滤 规则 打开 所 有 的 端口 。 

静态 包 过 滤 防火 墙 有 如 下 优点 。 

(1) 对 网 络 性 能 有 较 小 的 影响 。 由 于 包 过 滤 防 火 墙 只 是 简单 地 根据 地 址 、 协 议和 端 
口 进行 访问 控制 ， 因 此 对 网 络 性 能 的 影响 比较 小 。 只 有 当 访问 控制 规则 比较 多 时 ， 才 会 
感觉 到 性 能 的 下 降 。 

(2) 成 本 较 低 。 路 由 器 通常 集成 了 简单 包 过 滤 的 功能 ， 基 本 上 不 再 需要 单独 的 防火 
墙 设备 实现 静态 包 过 滤 功 能 ， 因 此 从 成 本 方面 考虑 ， 简 单 包 过 滤 的 成 本 非常 低 。 

静态 包 过 滤 防火 墙 有 如 下 缺点 。 

(1) 安全 性 较 低 。 由 于 包 过 滤 防 火 墙 仅 工 作 于 网 络 层 ， 其 自身 的 结构 设计 决定 了 它 
不 能 对 数据 包 进 行 更 高 层 的 分 析 和 过 滤 。 因 此 , 包 过 滤 防 火 墙 仅 提供 较 低 水 平 的 安全 性 。 

(2) 缺少 状态 感知 能 力 。 一 些 需 要 动态 分 配 端口 的 服务 需要 防火 墙 打开 许多 端口 ， 
这 就 增 大 了 网 络 的 安全 风险 ， 从 而 导致 网 络 整体 安全 性 不 高 。 

(3) 容易 遭受 IP 欺骗 攻击 。 由 于 简单 的 包 过 滤 功 能 没有 对 协议 的 细节 进行 分 析 ， 因 
此 有 可 能 遭受 IP 欺骗 攻击 。 

(4) 创建 访问 控制 规则 比较 困难 。 包 过 滤 防 火 墙 由 于 缺少 状态 感知 的 能 力 而 无 法 识 
别 主动 方 与 被 动 方 在 访问 行为 上 的 差别 。 要 创建 严密 有 效 的 访问 控制 规则 ， 管 理 员 需要 
认真 地 分 析 和 研究 一 个 组 织 机 构 的 安全 策略 ， 同 时 必须 严格 区 分 访问 控制 规则 的 先后 次 
序 ， 这 对 于 新 手 而 言 是 一 个 比较 困难 的 问题 。 
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动态 包 过 滤器 是 最 普遍 使 用 的 一 种 防火 墙 技术 ， 既 具有 很 高 的 安全 性 ， 又 具有 完全 
的 透明 性 。 动 态 包 过 滤器 的 设计 目标 是 允许 所 有 的 客户 端 软件 不 加 修改 即 可 工作 ， 并 让 
网 络 管理 员 仍 然 对 流 过 防火 墙 的 数据 流 施加 完全 的 控制 。 静 态 包 过 滤 防 火 墙 的 规则 表 是 
固定 的 ， 而 动态 包 过 滤 防 火 墙 可 以 根据 网 络 当前 的 状态 检查 数据 包 ， 即 根据 当前 所 交换 
的 信息 动态 调整 过 滤 规 则 表 。 


12.4.1 工作 原理 


动态 (状态 ) 包 过 滤器 是 在 静态 包 过 滤 防 火 墙 的 基础 上 发 展 而 来 的 。 由 于 动态 包 过 
滤 防 火 墙 继承 了 静态 包 过 滤 防 火 墙 的 某 些 特征 ， 因 此 它 具 有 静态 包 过 滤 防 火 墙 固有 的 许 
多 不 足 。 但 是 ， 动 态 包 过 滤 防 火 墙 与 静态 包 过 滤 防 火 墙 有 显著 的 不 同 ， 即 它 具 有 “状态 
感知 ”的 能 力 。 

典型 的 动态 包 过 滤 防 火 墙 也 和 静态 包 过 滤 防 火 墙 一 样 ， 都 工作 在 网 络 层 ， 即 OST 模 
型 的 第 3 层 。 更 先进 的 动态 包 过 滤 防 火 墙 可 以 在 OSI 的 传输 层 (第 4 层 ) 上 工作 。 在 传 
输 层 上 ， 动 态 包 过 滤 防 火 墙 可 以 收集 更 多 的 状态 信息 ， 从 而 增加 过 滤 的 深度 。 工 作 于 传 
输 层 的 动态 包 过 滤 防 火 墙 如 图 12-15 所 示 。 
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应 用 层 
表示 层 
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网 络 层 
链 路 层 
物理 层 


络 接 络 接 
内 部 网 络 [加 络 接口 网 络 接口 | 外 部 网 络 


图 12-15 ”工作 于 传输 层 的 动态 包 过 滤 防 火 墙 


通常 ， 动 态 包 过 滤 防 火 墙 做 出 转发 还 是 丢弃 一 个 数据 包 的 判断 ， 取 决 于 对 数据 包 的 
IP 头 和 协议 头 的 检查 。 动 态 包 过 滤 防 火 墙 所 检查 的 数据 包头 信息 包括 : 四 数据 源 地 址 ; 
@ 目 的 地 址 ，@ 应 用 或 协议 ，@ 源 端口 号 ，@@ 目 的 端口 号 。 

动态 包 过 滤 防 火 墙 在 对 数据 包 的 过 滤 方 面 ， 呈 现 出 与 普通 包 过 滤 防 火 墙 非常 相似 的 
特征 。 如 果 数 据 包 满 足 规 则 ， 如 数据 包 的 端口 号 或 全 地 址 是 可 接受 的 ， 则 被 允许 通过 。 
但 动态 包 过 滤 防 火 墙 与 普通 的 包 过 滤 防 火 墙 相 比 ， 还 有 一 个 不 同 点 : 它 首先 对 外 出 的 数 
据 包 身份 进行 记录 ， 此 后 若 有 相同 连接 的 数据 包 进 入 防火 墙 ， 它 就 直接 允许 这 些 数据 包 
通过 。 

例如 ,动态 包 过 滤 防火 墙 的 一 条 规则 是 : 如 果 从 外 网 输入 防火 墙 的 TCP 数据 包 是 对 
从 内 网 发 出 的 TCP 数据 包 的 回应 ， 则 允许 这 些 TCP 数据 包 通 过 防火 墙 。 由 此 可 以 看 出 ， 
动态 包 过 滤 防 火 墙 直接 对 “连接 ”进行 处 理 ， 而 不 是 仅 对 数据 包头 信息 进行 检查 。 因 此 ， 
它 可 以 用 来 处 理 UDP 和 TCP。 即 使 UDP 缺少 ACK 标志 位 ， 它 也 可 以 对 其 进行 过 滤 。 

注意 : 动态 包 过 滤 防 火 墙 需要 对 已 建 连接 和 规则 表 进 行动 态 维护 ， 因 此 它 是 动态 的 
和 有 状态 的 。 动 态 包 过 滤 防 火 墙根 据 规 则 表 对 数据 包 进 行 过 滤 ， 图 12-16 显示 了 其 工作 

简 而 言 之 ， 典 型 的 动态 包 过 滤 防 火 墙 能 够 感觉 到 新 建 连接 与 已 建 连接 之 间 的 差别 。 
一 旦 连接 建立 , 它 就 会 将 该 连接 的 状态 记 于 RAM 中 的 一 个 表单 中 。 后 续 的 数据 包 与 RAM 
表单 中 的 状态 信息 进行 比较 ， 这 一 比较 由 操作 系统 内 核 层 的 软件 实现 。 当 动态 包 过 滤 防 
火 墙 发 现 进来 的 数据 包 是 已 建 连接 的 数据 包 时 ， 就 会 允许 该 数据 包 直 接 通过 而 不 做 任何 
检查 。 由 于 避免 了 对 进入 防火 墙 的 每 个 数据 包 都 进行 规则 库 的 检查 ， 并 且 在 内 核 层 实现 
了 数据 包 与 已 建 连接 状态 的 比较 ， 因 此 动态 包 过 滤 防 火 墙 的 性 能 比 静 态 包 过 滤 防 火 墙 的 
性 能 有 很 大 的 提高 。 

在 概念 上 ， 实 现 动 态 包 过 滤器 有 两 种 主要 的 方式 。 一 种 方式 是 实时 地 改变 普通 包 过 
滤器 的 规则 集 。 许 多 采用 这 种 方式 的 防火 墙 实现 不 是 非常 令 人 满意 。 包 过 滤器 的 规则 集 
的 创建 是 一 项 非常 细致 的 工作 ， 而 且 规 则 的 次 序 也 很 重要 。 我 们 通常 搞 不 清楚 对 规则 集 
所 做 的 哪些 改变 是 有 利 的 ， 哪 些 改变 是 有 害 的 。 

此 外 ， 还 有 另 一 种 实现 动态 包 过 滤 防 火 墙 的 方式 。 此 方式 不 需要 检查 规则 表 ， 而 是 
采用 类 似 电路 级 网 关 的 方式 转发 数据 包 。 所 有 进入 防火 墙 的 呼叫 连接 将 终止 于 防火 墙 ， 
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然后 防火 墙 再 与 目标 主机 建立 新 的 连接 。 防 火 墙 在 两 个 连接 之 间 来 回复 制 数 据 。 


客户 端 服务 器 
IPS) 卫 地 址 
192.168.51.49 172.16.4.3 
& > B 
g 
TCP TCP 
从 :192.168.51.49 从 :192.168.51.49 
到 :172.16.4.3 到 :172.16.4.3 
p agano T 
= TCP TCP 
从 :172.16.4.3 从 :172.16.4.3 
到 :192.168.51.49 到 :192.168.51.49 
i 输出 分 组 【| 一 -= 一 | 一 
! 匹配 , 因 |- TCP 
1 此 允许 通过 | 从 :172.16.4.3 
hh 到 :192.168.51.49 
| 不 匹配 , (这 里 上- 一 一 | 
1 的 协议 是 1 -一 
上 


图 12-16 动态 包 过 滤 防 火 墙 的 工作 原理 


为 了 搞 清 其 工作 原理 ， 下 面 再 来 回忆 一 下 TCP 连接 建立 的 过 程 。 一 个 TCP 连接 可 
以 用 以 下 4 个 标准 参数 来 描述 : 


<localhost, localport, remotehost, remoteport> 


但 是 , remotehost 不 必 是 一 台 特定 的 机 器 , 它 可 以 是 声明 使 用 此 IP 地 址 的 任何 进程 。 
采用 此 设计 的 防火 墙 可 以 用 任意 的 主机 地 址 作为 回应 。 当 防火 墙 继续 向 真正 的 目标 主机 
发 起 连接 请 求 的 时 候 ， 它 可 以 使 用 主 叫 的 他 地址 ， 而 不 采用 其 真实 的 IP 地 址 作为 回应 。 
动态 包 过 滤 防 火 墙 发 起 重新 连接 示意 图 如 图 12-17 所 示 。 


图 12-17 动态 包 过 滤 防 火 墙 发 起 重新 连接 示意 图 


在 图 12-17 中 ， 虚 线 箭头 表示 意向 连接 ， 实 线 箭头 表示 真实 的 连接 。 防 火 墙 在 中 间 
起 着 中 继 数据 包 的 作用 。 对 通信 双方 来 说 ， 防 火 墙 既是 通信 的 起 点 ， 也 是 通信 的 终点 。 
防火 墙 对 连接 的 识别 不 仅 基于 以 上 4 个 标准 参数 ， 而 且 基于 网 络 接口 。 


1242 ”安全 性 讨论 
前 面 曾 提 到 ， 普 通 的 包 过 滤器 存在 一 定 的 局 限 性 。 由 于 某 些 动态 包 过 滤器 增添 了 许 
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多 新 的 功能 ， 从 而 有 效 地 解决 了 普通 包 过 滤 防 火 墙 存在 的 问题 。 

在 这 些 问 题 中 ， 人 们 最 关注 FTP 数据 通道 的 安全 问题 。 在 对 特定 应 用 缺乏 了 解 的 前 
提 下 ， 防 火 墙根 本 不 可 能 透明 地 处 理 FTP 服务 。 因 此 ， 动 态 包 过 滤 防 火 墙 通常 要 对 21 
号 端口 的 连接 CE FTP 命令 通道 ) 进行 特别 处 理 。 动 态 包 过 滤 防 火 墙 首先 对 命令 数据 流 
进行 扫描 ， 然 后 用 PORT 命令 的 各 种 参数 更 新 过 滤器 规则 表 。 若 动态 包 过 滤器 限制 内 网 
的 数据 包 流 出 ， 它 也 应 该 对 PASV 命令 做 相同 的 处 理 。 

对 于 RPC、H.323 及 同类 协议 ， 动 态 包 过 滤 防 火 墙 也 采取 相似 的 策略 。 通 过 检查 数 
据 包 的 内 容 ， 防 火 墙 可 以 控制 内 部 〈 或 外 部 ) RPC 服务 的 调用 。 换 言 之 ， 动 态 包 过 滤 防 
火 墙 已 经 跳出 了 狭义 的 数据 包 过 滤 的 概念 ， 步 入 了 “连接 过 滤 ” 的 范畴 。 

在 现实 中 ， 动 态 包 过 滤 防 火 墙 主要 在 以 下 两 个 方面 存在 性 能 上 的 差异 。 

A) 是 否 支持 对 称 多 处 理 技术 〈Symmetrical Multi-Processing，SMP)。SMP 是 指 在 
一 个 计算 机 上 汇集 了 一 组 处 理 器 (多 个 CPU)， 各 个 CPU 之 间 共 享 内 存 子 系统 及 总 线 结 
构 。 它 是 相对 非 对称 多 处 理 技术 而 言 的 应 用 十 分 广泛 的 并 行 技术 。 在 防火 墙 设计 中 采用 
此 技术 可 以 大 大 提高 防火 墙 的 性 能 。 

在 编写 防火 墙 软件 时 ,如 果 采 用 了 SMP 技术 , 那么 每 增加 一 个 处 理 器 就 会 使 防火 墙 
的 性 能 提高 30%。 很 遗憾 ， 当 前 许多 动态 包 过 滤 防 火 墙 的 实现 方案 均 以 单线 程 进程 工作 ， 
不 能 充分 利用 SMP 的 优势 , 为 了 克服 单线 程 带 来 的 性 能 限制 , 许多 防火 墙 厂家 采用 强大 
且 昂 贵 的 基于 精简 指令 集 (Reduced Instruction Set Computing, RISC) 的 处 理 器 ， 以 获 
取 高 性 能 。 随 着 处 理 器 性 能 的 提高 及 多 处 理 器 服务 器 的 广泛 应 用 ， 单 线程 的 局 限 性 已 经 
非常 明显 。 例 如 ， 在 昂贵 的 RISC 服务 器 上 运行 防火 墙 软件 只 能 达到 150Mb/s 的 动态 包 
过 滤 吞吐 率 , 而 在 廉价 的 Intel 多 处 理 器 服务 器 上 运行 防火 墙 软件 可 以 获得 600Mb/s 以 上 
的 动态 包 过 滤 吞 吐 率 。 

(2) 体现 在 连接 建立 的 方式 上 。 几 乎 每 个 防火 墙 厂 商都 在 建立 连接 表 〈Connection 
Table) 方面 有 自己 的 专利 技术 。 但 是 ， 除 了 上 面 讨论 的 区 别 之 外 ， 动 态 包 过 滤 防 火 墙 的 
基本 操作 在 本 质 上 都 是 相同 的 。 

为 了 突破 基于 单线 程 的 动态 包 过 滤 防 火 墙 的 性 能 极限 ， 有 些 厂家 在 防火 墙 建立 连接 
时 采取 了 非常 危险 的 技术 方案 。RFC 草案 建议 防火 墙 在 3 步 握 手 协议 完成 后 才能 建立 连 
接 ， 而 有 些 厂家 并 没有 采用 REC 的 建议 ， 他 们 设计 的 防火 墙 在 接收 到 第 一 个 SYN 数据 
包 时 就 打开 一 个 新 的 连接 。 实 际 上 ， 这 一 设计 将 使 防火 墙 后 面 的 服务 器 容易 遭 到 伪装 TP 
地 址 攻击 。 

黑客 发 动 的 匿名 攻击 有 时 更 具有 危险 性 。 与 静态 包 过 滤 防 火 墙 相似 ， 假 设 管理 员 为 
防火 墙 创建 了 一 条 规则 ， 指 示 包 过 滤器 丢弃 所 有 包含 未 知 源 地 址 的 数据 包 。 这 条 规则 虽 
然 使 黑客 的 攻击 变 得 非常 困难 , 但 是 黑客 仍然 可 以 采用 合法 的 人 P 地 址 访问 防火 墙 后 面 的 
服务 器 。 黑 客 可 以 将 恶意 数据 包 中 的 源 地 址 替换 成 某 个 可 信 客 户 机 的 源 地 址 。 在 此 攻击 
方法 中 ， 黑 客 必须 采用 可 信和 主机 的 IP 地 址 ， 并 通过 3 步 握手 建立 连接 。 

如 果 防 火 墙 厂 商 没 有 在 连接 建立 的 过 程 中 采用 REC 草案 的 建议 , 即 没有 执行 3 步 握 
手 协议 就 打开 了 一 条 连接 ， 黑 客 就 可 以 伪装 成 一 台 可 信 的 主机 ， 对 防火 墙 或 受 防 火 墙 保 
护 的 服务 器 发 动 单数 据 包 攻击 (Single-Packet Attack)， 而 黑客 却 完全 保持 匿名 。 对 于 管 
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理 员 来 说 ， 他 们 并 不 清楚 所 使 用 的 防火 墙 产 品 具有 此 种 缺陷 。 长 期 以 来 ， 各 种 单数 据 包 
攻击 (如 LAND、Ping of Death 和 Tear Drop 等 ) 一 直 困 扰 着 管理 员 。 一 旦 管理 员 知 道 了 
防火 墙 设计 上 存在 缺陷 ， 他 们 就 不 会 对 发 生 上 述 攻 击 感到 吃惊 。 

总 之 ， 动 态 包 过 滤 防 火 墙 的 优点 如 下 所 述 : 

a) 当 动 态 包 过 滤 防 火 墙 设 计 采 用 SMP 技术 时 ， 对 网 络 性 能 的 影响 非常 小 。 采 用 
SMP 的 系统 架构 ， 防 火 墙 可 以 由 不 同 的 处 理 器 分 担 包 过 滤 处 理 任务 。 即 使 在 主干 网 络 上 
使 用 动态 包 过 滤 防 火 墙 ， 它 也 可 以 满足 主干 网 络 对 防火 墙 性 能 的 需求 。 

(2) 动态 包 过 滤 防 火 墙 的 安全 性 优 于 静态 包 过 滤 防 火 墙 。 由 于 具有 了 “状态 感知 ” 
能 力 ， 所 以 防火 墙 可 以 区 分 连接 的 发 起 方 与 接收 方 ， 也 可 以 通过 检查 数据 包 的 状态 阻 断 
一 些 攻 击 行为 。 与 此 同时 ， 对 于 不 确定 端口 的 协议 数据 包 ， 防 火 墙 也 可 以 通过 分 析 打开 
相应 的 端口 。 防 火 墙 所 具备 的 这 些 能 力 使 其 安全 性 有 了 很 大 的 提升 。 

G) 动态 包 过 滤 防 火 墙 的 “状态 感知 ”能 力也 使 其 性 能 得 到 了 显著 提高 。 由 于 防火 
墙 在 连接 建立 后 保存 了 连接 状态 ， 当 后 续 数据 包 通 过 防火 墙 时 ， 不 再 需要 复杂 的 规则 匹 
配 过 程 ， 这 就 减少 了 由 于 访问 控制 规则 数量 的 增加 对 防火 墙 性 能 造成 的 影响 ， 因 此 其 性 
能 比 静态 包 过 滤 防 火 墙 好 很 多 。 

(4) 如 果 不 考 虑 所 采用 的 操作 系统 的 成 本 ， 动 态 包 过 滤 防 火 墙 的 成 本 也 很 低 。 

动态 包 过 滤 防 火 墙 的 缺点 如 下 所 述 : 

Q) 仅 工 作 于 网 络 层 ， 因 而 仅 检查 IP KA TCP ke 

(2) 由 于 没有 对 数据 包 的 净 荷 部 分 进行 过 滤 ， 因 此 仍然 具有 较 低 的 安全 性 。 

(3) 容易 遭受 伪装 IP 地 址 欺骗 攻击 。 

(4) 难于 创建 规则 ， 管 理 员 创建 规则 时 必须 要 考虑 规则 的 先后 次 序 。 

(5) 如 果 动 态 包 过 滤 防 火 墙 连接 在 建立 时 没有 遵循 RFC 建议 的 3 步 握 手 协议 , 就 会 
引入 额外 的 风险 。 如 果 防火 墙 在 连接 建立 时 仅 使 用 两 次 握手 ,很 可 能 导致 防火 墙 在 DoS/ 
DDoS 攻击 时 因 耗 尽 所 有 资源 而 停止 响应 。 


425 电路 级 网 关 


由 于 简单 包 过 滤 防 火 墙 的 缺点 十 分 明显 ， 因 此 后 人 提出 了 所 谓 电路 级 网 关 的 理论 。 
然而 ， 电 路 级 网 关 理论 并 没有 获得 很 大 的 进展 ， 目 前 通常 作为 应 用 代理 服务 器 的 一 部 分 
在 应 用 代理 类 型 的 防火 墙 中 实现 。 

电路 级 网 关 又 称 做 线路 级 网 关 ， 当 两 个 主机 首次 建立 TCP 连接 时 ， 电 路 级 网 关 在 两 
个 主机 之 间 建 立 一 道 屏障 。 电 路 级 网 关 的 作用 就 好 像 一 台中 继 计算 机 ， 用 来 在 两 个 连接 
之 间 来 回 地 复制 数据 ， 也 可 以 记录 或 缓存 数据 。 此 方案 采用 CS 结构 ， 网 关 充当 了 服务 
器 的 角色 ， 而 内 部 网 络 中 的 主机 充当 了 客户 机 的 角色 。 当 一 个 客户 机 希望 连接 到 某 个 服 
务 器 时 ， 它 首先 要 连接 到 中 继 主机 上 ， 然 后 ， 中 继 主 机 再 连接 到 服务 器 上 。 对 服务 器 来 
说 ， 该 客户 机 的 名 称 和 IP 地 址 是 不 可 见 的 。 

当 有 来 自 Intemet 的 请 求 进入 时 ， 它 作为 服务 器 接收 外 来 请 求 ， 并 转发 请 求 。 当 有 
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内 部 主机 请 求 访问 Intemet 时 ， 它 则 担当 代理 服务 器 的 角色 。 它 监视 两 主机 建立 连接 时 
的 握手 信息 ， 如 SYN, ACK 和 序列 号 等 是 否 合乎 逻辑 ， 判 定 该 会 话 请 求 是 否 合法 。 在 
有 效 会 话 连接 建立 后 ， 电 路 级 网 关 仅 复制 、 传 递 数据 ， 而 不 进行 过 滤 。 电 路 级 网 关 的 工 
作 原 理 如 图 12-18 所 示 。 在 图 12-18 中 ， 电 路 级 网 关 仅 用 来 中 继 TCP 连接 。 为 了 增强 安 
全 性 ， 电 路 级 网 关 可 以 采取 强 认 证 措施 。 


受 保护 的 网 络 不 受 保护 的 网 络 
IP | TCP TCP | IP 
出 去 时 移 除 卫 进入 时 移 除 卫 
首部 ， 进 入 时 首部 ， 出 去 时 
增加 IP 首 部 增加 IP 首 部 
TCP | TCP 


图 12-18 电路 级 网 关 的 工作 原理 


在 整个 过 程 中 , 卫 数据 包 不 会 实现 端 到 端的 流动 , 这 是 因为 中 继 主 机 工作 于 他 层 以 
上 。 所 有 在 全 层 上 可 能 出 现 的 碎片 攻击 、Firewalking 探测 等 问题 都 会 在 中 继 主机 上 终结 。 
对 于 有 问题 的 卫 数据 流 ， 中 继 主机 能 很 好 地 加 以 处 理 。 而 在 中 继 主 机 的 另 一 端 ， 它 能 发 
送 正常 的 TCP/IP 数据 包 。 电 路 级 网 关 在 两 个 没有 任何 IP 连通 性 的 网 络 之 间架 起 了 一 道 
桥梁 。 

在 有 些 实现 方案 中 ， 电 路 连接 可 自动 完成 。 通 过 中 继 主 机 ， 特 定 的 TCP 服务 可 由 外 
部 主机 到 达 内 部 的 数据 库 主 机 。 在 Intemet 上 ， 有 很 多 实现 这 一 功能 的 软件 ， 如 tcprelay 
就 是 一 个 TCP 中 继 程 序 。 

在 另外 一 些 实现 方案 中 ， 连 接 服 务 需 要 知道 确切 的 目的 地 址 。 此 时 ， 主 叫 主机 和 网 
关 之 间 要 运行 一 个 简单 的 协议 。 此 协议 描述 了 主 叫 主机 期 望 连接 的 目标 主机 和 使 用 的 服 
务 。 主 叫 用 户 首先 向 网 关 的 TCP 端口 发 出 连接 请 求 ， 然 后 网 关 再 尝试 与 目标 主机 连接 。 
一 旦 连接 建立 起 来 ， 中 继 程序 就 会 在 进出 网 关 的 两 个 方向 上 复制 数据 。 


12.5.1 工作 原理 


电路 级 网 关 工作 于 会 话 层 ， 即 OSI 模型 的 第 5 层 ， 如 图 12-19 所 示 。 在 许多 方面 ， 
电路 级 网 关 仅仅 是 包 过 滤 防 火 墙 的 一 种 扩展 ， 它 除了 进行 基本 的 包 过 滤 检 查 之 外 ， 还 要 
增加 对 连接 建立 过 程 中 的 握手 信息 及 序列 号 合法 性 的 验证 。 

在 打开 一 条 通过 防火 墙 的 连接 或 电路 之 前 ， 电 路 级 网 关 要 检查 和 确认 TCP 及 UDP 
会 话 。 因 此 ， 电 路 级 网 关 所 检查 的 数据 比 静 态 包 过 滤 防 火 墙 或 动态 包 过 滤 防 火 墙 所 检查 
的 数据 更 多 ， 安 全 性 也 更 高 。 

通常 ， 判 断 是 接收 还 是 丢弃 一 个 数据 包 ， 取决 于 对 数据 包 的 他 头 和 TCP 头 的 检查 
如 图 12-20 所 示 。 电 路 级 网 关 检查 的 数据 包括 : OV; @ 目 的 地 址 ; OVAR: 
@ 源 端口 号 ，@@ 目 的 端口 号 ， @ 握 手 信 息 及 序列 号 。 
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应 用 层 
表示 层 
会 话 层 
传输 层 
网 络 层 
链 路 层 
物理 层 


] 
网 络 接口 | 网 络 接口 
I 


内 部 网 络 外 部 网 络 
图 12-19 工作 于 会 话 层 的 电路 级 网 关 


| 
PR | rcp | uma ”| sw | 


p t 
源 /目的 IP 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 


电路 级 网 关 
图 12-20 电路 级 网 关 过 滤 的 他 数据 包 信息 


与 包 过 滤 防 火 墙 类 似 , 电路 级 网 关 在 转发 一 个 数据 包 之 前 ,首先 将 数据 包 的 IP 头 和 
TCP 头 与 由 管理 员 定 义 的 规则 表 相 比较 ， 以 确定 防火 墙 是 将 数据 包 丢 弃 还 是 让 数据 包 通 
过 。 在 可 信 客 户 机 与 不 可 信 主 机 之 间 进 行 TCP 握手 通信 时 ， 仅 当 SYN 标志 、ACK 标志 
及 序列 号 符合 逻辑 时 ， 电 路 级 网 关 才 判定 该 会 话 是 合法 的 。 

如 果 会 话 是 合法 的 ， 包 过 滤器 就 开始 对 规则 进行 逐条 扫描 ， 直 到 发 现 其 中 一 条 规则 
与 数据 包 中 的 有 关 信息 一 致 。 如 果 包 过 滤器 没有 发 现 适 合 该 数据 包 的 规则 ， 它 就 会 对 该 
数据 包 施加 一 条 默认 规则 。 在 防火 墙 的 规则 表 中 ， 这 条 默认 规则 有 明确 的 定义 ， 通 常 是 
指示 防火 墙 将 不 满足 规则 的 数据 包 丢 弃 。 

事实 上 ， 电 路 级 网 关 在 其 自身 与 远程 主机 之 间 建 立 一 个 新 的 连接 ， 而 这 一 切 对 内 网 
中 的 用 户 来 说 是 完全 透明 的 。 内 网 用 户 不 会 意识 到 这 些 ， 他 们 一 直 认 为 自己 正 与 远程 主 
机 直接 建立 连接 。 在 图 12-21 H, 电路 级 网 关 将 输出 数据 包 的 源 地 址 改 为 自己 的 卫 地 址 。 
因此 ， 外 部 网 络 中 的 主机 不 会 知道 内 部 主机 的 IP 地 址 。 图 中 的 单 向 箭头 只 是 为 了 说 明 这 
一 概念 ， 实 际 上 箭头 应 是 双向 的 。 


源 地 址 = 源 地 址 = 
178.29.10.90 178.29.10.70 
IP34 IP 分 组 // 
Y aay HTTP a, à 
SS SMTP N 
ETP. 
S Telnet 
内 部 主机 外 部 主机 
IP 地 址 = 电路 级 网 关 
178.29.10.90 IP 地 址 = 


178.29.10.70 
图 12-21 电路 级 网 关 的 工作 原理 
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电路 中 继 通 常 在 两 个 独立 的 网 络 之 间 创 建 特定 的 连接 。 在 Intemet 的 早期 ， 许 多 公 
司 的 内 部 网 均 在 电路 级 上 与 Intemet 隔离 。SOCKS 就 是 一 个 普通 的 电路 级 网 关 。SOCKS 
最 初 是 由 David 和 Michelle Koblas 设计 并 开发 的 ， 现 在 已 得 到 广泛 应 用 。 通 过 合理 配置 
SOCKS 协议 ， 可 以 使 用 SOCKS 中 继 主 机 作为 电路 级 网 关 。 

SOCKS 其 实 是 一 种 网 络 代理 协议 。 一 台 使 用 专用 P 地 址 的 内 部 主机 可 通过 SOCKS 
服务 器 获得 完全 的 Internet 访问 。 具 体 网 络 拓扑 结构 是 :用 一 台 运行 SOCKS 的 服务 器 ( 双 
宿主 主机 ) 连接 内 部 网 和 Intemet， 内 部 网 主机 使 用 的 都 是 专用 IP 地 址 。 内 部 网 主机 请 
求 访问 Internet 时 ， 首 先 与 SOCKS 服务 器 建立 一 个 SOCKS 通道 ， 然 后 再 将 请 求 通过 这 
个 通道 发 送 给 SOCKS 服务 器 ，SOCKS 服务 器 在 收 到 客户 请 求 后 ， 向 Internet 上 的 目标 
主机 发 出 请 求 ; 得 到 响应 后 ，SOCKS 服务 器 再 通过 先前 建立 的 SOCKS 通道 将 数据 返回 
给 内 网 主机 。 当 然 ， 在 SOCKS 通道 的 建立 过 程 中 可 能 有 一 个 用 户 认 证 的 过 程 。 

典型 的 SOCKS 连接 如 图 12-22 所 示 。 在 图 中 ， 内 部 网 中 的 客户 机 通过 SOCKS 接口 
与 中 继 主 机 的 接口 4 相连 ， 而 Intemet 则 通过 接口 B 与 中 继 主 机 相连 。 


Internet 中断 主机 Internet 
B A 


12-22 ”典型 的 SOCKS 连接 


电路 级 网 关 在 设计 上 要 能 够 中 继 人 P 连接 , IP 地 址 对 服务 器 来 说 是 不 可 见 的 。 中 继 请 
求 会 到 达 如 图 12-22 所 示 的 接口 4。 如 果 在 接口 B 上 也 提供 该 服务 ， 外 部 用 户 就 会 通过 
中 继 主 机 发 起 连接 。 现 在 有 很 多 黑客 工具 可 以 用 来 扫描 中 继 服务 器 ， 以 发 现 其 存在 的 

显然 ， 必 须 对 中 继 服 务 器 施加 控制 。 控 制 措施 可 采用 各 种 形式 ， 例 如 ， 可 以 对 端口 
的 持续 时 间 加 以 限制 ， 也 可 以 要 求 列 出 允许 访问 该 端口 的 外 部 用 户 名 单 ， 甚 至 可 以 对 内 
部 用 户 的 连接 建立 请 求 进行 用 户 认证 。 当 然 ， 到 底 采 用 什么 措施 要 视 具体 情况 而 定 。 

电路 级 网 关 ， 包 括 后 面 要 介绍 的 应 用 级 网 关 ， 都 非常 适合 于 某 些 UDP 应 用 。 此 时 ， 
必须 修改 客户 机 程序 ， 以 创建 一 条 通 向 某 种 代理 进程 的 虚 电 路 。 该 电路 提供 了 足够 的 信 
息 ， 让 UDP 应 用 安全 地 通过 过 滤器 。 实 际 的 目的 地 址 和 源 地 址 则 被 隐蔽 地 发 送 。 然 而 ， 
由 于 各 种 服务 均 需 要 特定 的 本 地 端口 号 ， 因 此 这 一 设计 仍然 存在 问题 。 


1252 ”安全 性 讨论 


电路 级 网 关 完 全 是 从 包 过 滤 防 火 墙 基础 上 演化 而 来 的 ， 它 与 包 过 滤 防 火 墙 一 样 ， 工 
EF OSI 模型 的 低层 上 ， 因 此 对 网 络 性 能 有 较 小 的 影响 。 然 而 ， 一 旦 电路 级 网 关 建 立 一 
个 连接 ， 任 何 应 用 均 可 以 通过 该 连接 运行 ， 这 是 因为 电路 级 网 关 仍然 是 在 OSI 模型 的 会 
话 层 和 网 络 层 上 对 数据 包 进 行 过 滤 的 。 换 名 话说， 电路 级 网 关 不 能 对 可 信 网 络 与 不 可 信 
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网 络 之 间 中 继 的 数据 包 内 容 进行 检查 。 这 就 存在 潜在 的 风险 ， 电 路 级 网 关 有 可 能 放 过 有 
害 的 数据 包 ， 使 其 顺利 到 达 防 火 墙 后 面 的 服务 器 。 

总 之 ， 电 路 级 网 关 具 有 如 下 优点 : 

(1) 对 网 络 性 能 有 一 定 程度 的 影响 。 由 于 其 工作 层次 比 包 过 滤 防 火 墙 高 ， 因 此 性 能 
比 包 过 滤 防 火 墙 稍 差 ， 但 是 与 应 用 代理 防火 墙 相 比 ， 其 性 能 要 好 很 多 。 

(2) 切断 了 外 部 网 络 与 防火 墙 后 的 服务 器 直接 连接 。 外 网 客户 机 与 内 网 服务 器 之 间 
的 通信 需要 通过 电路 级 代理 实现 ， 同 时 电路 级 代理 可 以 对 IP 层 的 数据 错误 进行 校 验 。 

G) 比 静 态 或 动态 包 过 滤 防 火 墙 具 有 更 高 的 安全 性 。 在 理论 上 ， 防 火 墙 实现 的 层次 
越 高 ， 过 滤 检查 的 项 目 就 越 多 ， 安 全 性 就 越 好 。 由 于 电路 级 网 关 可 以 提供 认证 功能 ， 因 
此 其 安全 性 要 优 于 包 过 滤 防 火 墙 。 

电路 级 网 关 具 有 如 下 缺点 : 

(1) 具有 一 些 包 过 滤 防 火 墙 加 有 的 缺陷 ， 例 如 ， 电 路 级 网 关 不 能 对 数据 净 荷 进行 检 
测 ， 因 此 无 法 抵御 应 用 层 的 攻击 等 。 

(2) 仅 提供 一 定 程度 的 安全 性 。 由 于 电路 级 网 关 在 设计 理论 上 存在 局 限 性 ， 工 作 层 
次 决定 了 它 无 法 提供 最 高 的 安全 性 。 只 有 到 了 应 用 级 网 关 的 级 别 ， 安 全 问题 才能 从 理论 
上 得 到 彻底 解决 。 

(3) 电路 级 网 关 防 火 墙 存在 的 另外 一 个 问题 是 : 当 增加 新 的 内 部 程序 或 资源 时 ， 往 
往 需 要 对 许多 电路 级 网 关 的 代码 进行 修改 “SOCKS 例外 )。 
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应 用 级 网 关 与 包 过 滤 防 火 墙 不 同 ， 包 过 滤 防 火 墙 能 对 所 有 不 同 服务 的 数据 流 进行 过 
滤 ， 而 应 用 级 网 关 则 只 能 对 特定 服务 的 数据 流 进 行 过 滤 。 包 过 滤器 不 需要 了 解数 据 流 的 
细节 ， 它 只 查看 数据 包 的 源 地 址 和 目的 地 址 或 检查 UDP/TCP 的 端口 号 和 某 些 标志 位 。 
应 用 级 网 关 必 须 为 特定 的 应 用 服务 编写 特定 的 代理 程序 。 这 些 程序 被 称 为 “服务 代理 ”， 
在 网 关内 部 分 别 扮演 客户 机 代理 和 服务 器 代理 的 角色 。 当 各 种 类 型 的 应 用 服务 通过 网 关 
时 ， 它 们 必须 经 过 客户 机 代理 和 服务 器 代理 的 过 滤 。 应 用 级 网 关 的 逻辑 结构 如 图 12-23 
所 示 。 


zo [客户 Rae 

代理 = 代理 

Cl moe || 客户 

=! 代理 代理 
po F 


图 12-23 ”应 用 级 网 关 的 逻辑 结构 


不 安全 网 络 
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12.6.1 工作 原理 


与 电路 级 网 关 一 样 ， 应 用 级 网 关 截 获 进 出 网 络 的 数据 包 ， 运 行 代理 程序 来 回复 制 和 
传递 通过 网 关 的 信息 ， 起 着 代理 服务 器 的 作用 。 它 可 以 避免 内 网 中 的 可 信服 务 器 或 客户 
机 与 外 网 中 某 个 不 可 信 主 机 之 间 的 直接 连接 。 

应 用 级 网 关上 所 运行 的 应 用 代理 程序 与 电路 级 网 关 有 两 个 重要 的 区 别 : 

(1) 代理 是 针对 应 用 的 。 

(2) 代理 对 整个 数据 包 进 行 检查 , 因此 能 在 OSI 模型 的 应 用 层 上 对 数据 包 进 行 过 滤 。 
应 用 级 网 关 的 工作 层次 如 图 12-24 所 示 。 


应 用 层 
RTE 
会 话 层 
传输 层 
网 络 层 
链 路 层 
物理 层 


内 部 网 络 外 部 网 络 


] 
网 络 接口 [网 络 接口 
I 


图 12-24 ”应 用 级 网 关 的 工作 层次 


与 电路 级 网 关 不 同 ， 应 用 级 网 关 必 须 针 对 每 个 特定 的 服务 运行 一 个 特定 的 代理 ， 它 
只 能 对 特定 服务 所 生成 的 数据 包 进行 传递 和 过 滤 。 例 如 ，HTTP 代理 只 能 复制 、 传 递 和 
过 滤 HTTP 业务 流 。 如 果 一 个 网 络 使 用 了 应 用 级 网 关 防 火 墙 ， 而 且 网 关上 没有 运行 某 些 
应 用 服务 的 代理 ， 那 么 这 些 服务 的 数据 包 都 不 能 进出 网 络 。 例 如 ， 如 果 应 用 级 网 关 防 火 
墙 上 运行 了 FTP 和 HTTP 代理 ， 那 么 只 有 这 两 种 服务 的 数据 包 才 能 通过 防火 墙 ， 所 有 其 
他 服务 的 数据 包 均 被 禁止 。 

应 用 级 网 关 防 火 墙 上 运行 的 代理 程序 对 数据 包 进 行 逐 个 检查 和 过 滤 ， 而 不 是 简单 地 
复制 数据 让 数据 包 轻易 地 通过 网 关 。 特 定 的 应 用 代理 检查 通过 网 关 的 每 个 数据 包 , 在 OSI 
模型 的 应 用 层 上 验证 数据 包 内 容 。 这 些 代理 可 以 对 应 用 协议 中 的 特定 信息 或 命令 进行 过 
滤 ， 这 就 是 所 谓 的 关键 词 过 滤 或 命令 字 过 滤 。 例 如 ，FTP 应 用 代理 能 够 过 滤 许多 命令 字 ， 
以 便 对 特定 用 户 实现 更 加 精细 的 控制 ， 以 保护 FTP 服务 器 免 遭 非法 入 侵 。 

当前 , 应 用 级 网 关 防火 墙 所 采用 的 技术 叫做 “ 强 应 用 代理 ”。 强 应 用 代理 技术 提高 了 
应 用 级 网 关 的 安全 等 级 。 强 应 用 代理 不 是 对 用 户 的 整个 数据 包 进 行 复制 ， 而 是 在 防火 墙 
内 部 创建 一 个 全 新 的 空 数据 包 。 强 应 用 代理 将 那些 可 接收 的 命令 或 数据 ， 从 防火 墙 外 部 
的 原始 数据 包 中 复制 到 防火 墙 内 新 创建 的 数据 包 中 。 然 后 ， 强 应 用 代理 将 此 新 数据 包 发 
送 给 防火 墙 后 面 受 保护 的 服务 器 。 通 过 采用 此 项 技术 ， 强 应 用 代理 能 够 降低 各 类 隐 信 道 
攻击 所 带 来 的 风险 。 
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与 普通 静态 或 动态 包 过 滤 防 火 墙 相 比 ， 应 用 级 网 关 防 火 墙 在 更 高 层 上 过 滤 信 息 ， 并 
且 能 够 自动 地 创建 必要 的 包 过 滤 规 则 ， 因 此 它们 比 传统 的 包 过 滤 防 火 墙 更 容易 配置 。 

由 于 应 用 级 网 关 防 火 墙 对 整个 数据 包 进 行 检查 ， 因 此 它 是 当前 已 有 的 最 安全 的 防火 
墙 结构 之 一 。 虽 然 应 用 级 网 关 防 火 墙 具 有 很 高 的 安全 性 ， 但 是 它 有 一 个 固有 的 缺点 ， 那 
就 是 缺乏 透明 性 。 此 外 ， 缺 乏 对 新 应 用 、 新 协议 的 支持 也 成 了 制约 应 用 级 网 关 发 展 的 主 
要 障碍 。 

随 着 软件 技术 从 原来 的 16b 编码 转向 当前 的 32b 编码 ,再 加 上 SMP 等 新 技术 的 出 现 ， 
今天 的 许多 应 用 级 网 关 防 火 墙 既 有 很 高 的 安全 性 ， 也 有 很 好 的 透明 性 。 此 时 ， 公 网 或 内 
网 中 的 用 户 不 会 意识 到 他 们 正在 通过 防火 墙 访问 Internet. 
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包 过 滤 防 火 墙 无 须 对 数据 净 荷 进行 检查 ， 它 仅 检查 数据 包 的 源 地 址 和 目的 地 址 ， 也 
可 能 检查 UDP 或 TCP 的 端口 号 或 标志 位 。 由 于 应 用 级 网 关 要 对 特定 服务 数据 包 的 细节 
进行 检查 ， 因 此 它 比 包 过 滤 防 火 墙 更 复杂 。 

应 用 级 网 关 不 是 采用 通用 机 制 处 理 所 有 应 用 服务 的 数据 包 ， 而 是 采用 特定 的 代理 程 
序 处 理 特 定 应 用 服务 的 数据 包 。 例 如 ， 针 对 电子 邮件 的 应 用 代理 程序 能 理解 RFC 822 头 
信息 和 MIME 编码 格式 的 附件 ， 也 可 能 识别 出 感染 病毒 的 软件 。 这 类 过 滤器 通常 采用 存 
储 转 发 方式 工作 。 

应 用 级 网 关 还 有 另外 一 个 优点 : 它 容易 记录 和 控制 所 有 进出 网 络 的 数据 流 。 这 对 于 
某 些 环境 来 说 非常 关键 。 它 可 以 对 电子 邮件 中 的 关键 词 进行 过 滤 ， 也 可 以 让 特定 的 数据 
通过 网 关 。 它 还 能 对 网 页 的 查询 请 求 进行 过 滤 ， 使 其 与 公司 的 安全 策略 一 致 ， 以 禁止 员 
工 在 工作 时 间 上 网 看 新 闻 。 它 也 能 剔除 危险 的 电子 邮件 附件 。 

不 管 网 络 中 的 其 他 防火 墙 采用 何 种 技术 , 电子 邮件 通常 必须 经 过 应 用 级 网 关 的 过 滤 。 
即使 网 络 中 没有 安装 防火 墙 ， 也 必须 安装 电子 邮件 网 关 。 它 还 能 去 掉 内 部 主机 的 名 称 ， 
因为 此 名 称 中 可 能 含有 一 些 有 价值 的 信息 。 它 甚至 还 可 以 进行 数据 流 分 析 、 内 容 分 析 并 
形成 日 志 ， 以 便 事后 查看 被 泄漏 的 信息 。 

注意 : 以 上 描述 的 安全 机 制 仅 用 来 防止 攻击 者 从 外 部 发 起 攻击 。 但 是 如 果 网 络 内 部 
有 不 法 用 户 想 导 入 含有 病毒 的 文件 ， 这 些 安全 机 制 将 无 能 为 力 。 当 然 ， 这 类 问题 的 防范 
超出 了 防火 墙 的 功能 范围 。 

应 用 级 网 关 的 主要 缺点 是 : 对 于 大 多 数 应 用 服务 来 说 ， 它 需要 编写 专门 的 用 户 程序 
或 不 同 的 用 户 接口 。 在 实践 中 ， 这 意味 着 应 用 级 网 关 只 能 支持 一 些 非常 重要 的 服务 。 对 
于 一 些 专用 的 协议 或 应 用 ， 应 用 级 网 关 将 无 法 加 以 过 滤 。 对 于 许多 新 出 现 的 应 用 服务 ， 
应 用 级 网 关 则 无 能 为 力 ， 因 为 用 户 必 须 重新 开发 新 的 代理 程序 ， 而 这 需要 时 间 。 目 前 ， 
它 仅 能 对 有 限 的 几 个 常用 的 应 用 服务 进行 过 滤 ， 如 HITP、FTP、SMTP、POP3、Telnet 
<A 

在 复杂 的 网 络 环境 中 ， 应 用 级 网 关 显 得 不 太 实用 ， 并 且 可 能 超 负 荷 运行 ， 以 致 不 能 
正常 工作 。 如 果 应 用 级 网 关 的 实现 依赖 于 操作 系统 的 netd 守护 程序 , 则 其 最 大 并 发 连接 
数目 将 受到 严重 限制 。 今 天 的 网 络 环境 对 并 行 会 话 的 要 求 非常 高 ， 这 就 要 求 应 用 级 网 关 
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防火 墙 对 网 络 环境 有 很 强 的 适应 性 。 因 此 ， 是 否 采用 应 用 级 网 关 防 火 墙 ， 取 决 于 用 户 的 
选择 。 如 果 用 户 为 满足 某 些 特殊 的 安全 需求 而 采用 应 用 级 网 关 防 火 墙 ， 那 么 用 户 就 要 承 
担 一 定 的 风险 。 如 果 内 网 中 的 用 户 太 多 、 流 量 太 大 ， 就 可 能 因 所 支持 的 并 发 连接 数 不 够 
而 造成 过 滤 速 度 缓慢 或 死机 。 

当然 ， 从 安全 的 角度 看 ， 人 们 更 偏向 于 采用 应 用 级 网 关 防 火 墙 。 由 于 它 在 应 用 层 上 
对 数据 进行 过 滤 ， 因 此 更 安全 。 网 关 也 可 以 支持 其 他 的 应 用 ， 例 如 ， 可 以 让 它 承 担 域名 
服务 器 或 邮件 服务 器 的 任务 。 应 用 级 网 关 防 火 墙 隐藏 了 内 部 主机 的 IP 地 址 或 主机 名 , 对 
于 外 部 的 网 络 用 户 来 说 ， 这 些 信息 是 不 可 见 的 。 当 数据 包 流 出 内 网 的 时 候 ， 防 火 墙 将 消 
息 头 中 的 专用 IP 地 址 和 主机 名 去 掉 ; 当 数 据 包 自 外 网 流入 内 网 时 ， 防 火 墙 的 域名 服务 器 
对 数据 包 进行 解析 ， 再 发 往 内 网 的 用 户 。 因 此 ， 对 于 外 部 网 络 来 说 ， 防 火 墙 看 起 来 既是 
源 点 也 是 终点 。 

应 用 级 网 关 可 以 解决 P 地 址 缺乏 的 问题 。 网 络 管理 员 可 以 将 大 量 的 专用 IP 地 址 分 
配给 内 网 用 户 ， 使 内 部 主机 的 IP 地 址 分 配 变 得 非常 容易 。 由 于 应 用 级 网 关 对 Intemet 隐 
藏 了 内 部 的 专用 卫 地 址 ， 因 此 它 只 需要 ISP 提供 几 个 静态 IP 地 址 即 可 。 

用 户 可 使 用 应 用 级 网 关上 运行 的 FTP 代理 程序 传输 文件 。 内 部 用 户 通过 登录 防火 墙 
上 传 或 下 载 文件 ， 外 部 用 户 也 一 样 。 在 进行 匿名 文件 传输 时 ， 用 户 先 将 文件 发 给 防火 墙 ， 
再 由 防火 墙 将 文件 发 出 。 这 种 工作 方式 也 同样 适用 于 Telnet 或 rlogin 会 话 : 用 户 首先 远 
程 登录 到 防火 墙 上 ， 防 火 墙 再 远程 登录 到 外 部 网 络 。E-mail 及 由 网 站 提供 的 某 些 服务 均 
采用 这 种 安全 工作 模式 。 这 样 ， 内 网 用 户 就 可 以 通过 应 用 级 网 关 对 外 部 用 户 提供 服务 。 
当然 ， 用 户 可 以 采用 Kerberos 安全 协议 来 管理 内 外 网 用 户 之 间 的 会 话 。 

有 的 商用 防火 墙 可 为 用 户 提供 应 用 级 网 关 软 件 。 用 户 可 与 制造 商 签署 保密 协议 ， 让 
他 们 提供 对 许多 专用 协议 的 支持 。 但 是 ， 究 竟 是 否 真正 需要 应 用 级 网 关 支 持 这 些 协 议 ， 
网 络 管理 员 要 对 内 网 的 安全 策略 仔细 研究 。 即 使 应 用 级 网 关 能 够 对 这 些 专 用 协议 进行 过 
滤 ， 如 果 根 本 不 需要 这 些 协议 ， 就 应 该 去 掉 它 们 。 在 应 用 级 网 关上 增加 对 这 些 协议 的 支 
持 ， 只 会 增加 防火 墙 的 负担 ， 从 而 降低 防火 墙 的 性 能 。 

TIS (Trusted Information Systems) 防火 墙 工具 包 是 一 种 非常 流行 的 应 用 级 网 关 软 件 。 
读者 可 以 从 网 上 自由 下 载 。 该 工具 包 包括 Telnet 网 关 、FTP 网 关 、rlogin 网 关 和 SSL 网 
关 等 。 另 外 ， 还 有 一 些 专门 为 特定 服务 编写 的 应 用 代理 软件 包 ， 如 Squid 等 。 对 这 些 软 
件 加 以 修改 ， 它 们 就 可 以 应 用 于 防火 墙 中 。 

总 之 ， 应 用 级 网 关 的 主要 优点 如 下 所 述 : 

(1) 在 已 有 的 安全 模型 中 安全 性 较 高 。 由 于 工作 于 应 用 层 ， 因 此 应 用 级 网 关 防火 墙 
的 安全 性 取决 于 厂商 的 设计 方案 。 应 用 级 网 关 防火 墙 完全 可 以 对 服务 (如 HTTP. FTP 
等 ) 的 命令 字 过 滤 ， 也 可 以 实现 内 容 过 滤 ， 甚 至 可 以 进行 病毒 的 过 滤 。 

(2) 具有 强大 的 认证 功能 。 由 于 应 用 级 网 关 在 应 用 层 实 现 认证 ， 因 此 它 可 以 实现 的 
认证 方式 比 电路 级 网 关 要 丰富 得 多 。 

G) 具有 超 强 的 日 志 功能 。 包 过 滤 防 火 墙 的 日 志 仅 能 记录 时 间 、 地 址 、 协 议 、 端 口 ， 
而 应 用 级 网 关 的 日 志 要 明确 得 多 。 例 如 ， 应 用 级 网 关 可 以 记录 用 户 通过 HTTP 访问 了 哪 
些 网 站 页 面 、 通 过 FTP 上 传 或 下 载 了 什么 文件 、 通 过 SMTP 给 谁 发 送 了 邮件 ， 甚 至 邮件 
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的 主题 、 附 件 等 信息 ， 都 可 以 作为 日 志 的 内 容 。 

(4) 应 用 级 网 关 防 火 墙 的 规则 配置 比较 简单 。 由 于 应 用 代理 必须 针对 不 同 的 协议 实 
现 过 滤 ， 所 以 管理 员 在 配置 应 用 级 网 关 时 关注 的 重点 就 是 应 用 服务 ， 而 不 必 像 配 置 包 过 
滤 防火 墙 一 样 还 要 考虑 规则 顺序 的 问题 。 

应 用 级 网 关 的 主要 缺点 如 下 所 述 : 

(1) 灵活 性 很 差 : 对 每 一 种 应 用 都 需要 设置 一 个 代理 。 由 此 导致 的 问题 很 明显 ， 每 
当 出 现 一 种 新 的 应 用 时 ， 必 须 编 写 新 的 代理 程序 。 由 于 目前 的 网 络 应 用 呈 多 样 化 趋势 ， 
这 显然 是 一 个 致命 的 缺陷 。 在 实际 工作 中 ， 应 用 级 网 关 防 火 墙 中 集成 了 电路 级 网 关 或 包 
过 滤 防 火 墙 ， 以 满足 人 们 对 灵活 性 的 需求 。 

(2) 配置 复杂 : 增加 了 管理 员 的 工作 量 。 由 于 各 种 应 用 代理 的 设置 方法 不 同 ， 因 此 
对 于 不 是 很 精通 计算 机 网 络 的 用 户 而 言 ， 难 度 可 想 而 知 。 对 于 网 络 管理 员 来 说 ， 当 网 络 
规模 达到 一 定 程度 的 时 候 ， 其 工作 量 很 大 。 

G) 性 能 不 高 : 有 可 能 成 为 网 络 的 瓶颈 。 虽 然 目 前 的 CPU 处 理 速度 还 是 保持 以 莫 尔 
定律 的 速度 增长 ， 但 是 周边 系统 的 处 理性 能 〈 如 磁盘 访问 性 能 等 ) 远 远 落 后 于 运算 能 力 
的 提高 ， 很 多 时 候 系统 的 瓶颈 根本 不 在 于 处 理 器 的 性 能 。 目 前 ， 应 用 级 网 关 的 性 能 依然 
远 远 无 法 满足 大 型 网 络 的 需求 , 一 旦 超 负 荷 ， 就 有 可 能 发 生 宕 机 ， 从 而 导致 整个 网 络 中 断 。 


427 ”状态 检测 防火 墙 


状态 检测 技术 是 防火 墙 近 几 年 才 应 用 的 新 技术 。 传 统 的 包 过 滤 防 火 墙 只 是 通过 检测 
IP 包头 的 相关 信息 来 决定 数据 流 的 通过 还 是 拒绝 ， 而 状态 检测 技术 采用 的 是 一 种 基于 连 
接 的 状态 检测 机 制 ， 将 属于 同一 连接 的 所 有 包 作为 一 个 数据 流 的 整体 看 待 ， 构 成 连接 状 
态 表 ， 通 过 规则 表 与 状态 表 的 共同 配合 ， 对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动 
态 连 接 状 态 表 中 的 记录 可 以 是 以 前 的 通信 信息 ， 也 可 以 是 其 他 相关 应 用 程序 的 信息 ， 因 
此 ， 与 传统 包 过 滤 防 火 墙 的 静态 过 滤 规 则 表 相 比 ， 它 具有 更 好 的 灵活 性 和 安全 性 。 


12.7.1 工作 原理 


先进 的 状态 检测 防火 墙 读 取 、 分 析 和 利用 了 全 面 的 网 络 通信 信息 和 状态 , 如 下 所 述 : 

(1) 通信 信息 : 即 所 有 7 层 协议 的 当前 信息 。 防 火 墙 的 检测 模块 位 于 操作 系统 的 内 
核 ， 在 网 络 层 之 下 ， 能 在 数据 包 到 达 网 关 操 作 系统 之 前 对 它们 进行 分 析 。 防 火 墙 先 在 低 
协议 层 上 检查 数据 包 是 否 满足 企业 的 安全 策略 ， 对 于 满足 的 数据 包 ， 再 从 更 高 协议 层 上 
进行 分 析 。 它 验证 数据 的 源 地 址 、 目 的 地 址 和 端口 号 、 协 议 类 型 、 应 用 信息 等 多 层 的 标 
志 ， 因 此 具有 更 全 面 的 安全 性 。 

(2) 通信 状态 : 即 以 前 的 通信 信息 。 对 于 简单 的 包 过 滤 防 火 墙 ， 如 果 要 允许 FTP 通 
过 ， 就 必须 做 出 让 步 而 打开 许多 端口 ， 这 样 就 降低 了 安全 性 。 状 态 检测 防火 墙 在 状态 表 
中 保存 以 前 的 通信 信息 ， 记 录 从 受 保护 网 络 发 出 的 数据 包 的 状态 信息 ， 如 FTP 请 求 的 服 
务 器 地 址 和 端口 、 客 户 端 地 址 和 为 满足 此 次 FTP 临时 打开 的 端口 ， 然 后 ， 防 火 墙根 据 该 
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表 内 容 对 返回 受 保护 网 络 的 数据 包 进行 分 析 判 断 ， 这 样 ， 只 有 响应 受 保护 网 络 请 求 的 数 
据 包 才 被 放行 。 这 里 ， 对 于 UDP 或 RPC 等 无 连接 的 协议 ， 检 测 模块 可 创建 虚 会 话 信息 
用 来 进行 跟踪 。 

(3) 应 用 状态 : 即 其 他 相关 应 用 的 信息 。 状 态 检测 模块 能 够 理解 并 学 习 各 种 协议 和 
应 用 ， 以 支持 各 种 最 新 的 应 用 ， 它 比 代 理 服务 器 支持 的 协议 和 应 用 要 多 得 多 ; 并且， 它 
能 从 应 用 程序 中 收集 状态 信息 并 存 入 状态 表 中 ， 以 供 其 他 应 用 或 协议 做 检测 策略 。 例如， 
已 经 通过 防火 墙 认证 的 用 户 可 以 通过 防火 墙 访问 其 他 授权 的 服务 。 

(4) 操作 信息 : 即 在 数据 包 中 能 执行 逻辑 运算 或 数学 运算 的 信息 。 状 态 监测 技术 采 
用 强大 的 面向 对 象 的 方法 ， 基 于 通信 信息 、 通 信 状 态 、 应 用 状态 等 多 方面 因素 ， 利 用 灵 
活 的 表达 式 形式 ， 结 合 安全 规则 、 应 用 识别 知识 、 状 态 关 联 信息 及 通信 数据 ， 构 造 更 复 
杂 的 、 更 灵活 的 、 满 足 用 户 特定 安全 要 求 的 策略 规则 。 

状态 检查 防火 墙 将 动态 包 过 滤 、 电 路 级 网 关 和 应 用 级 网 关 等 各 项 技术 结合 在 一 起 。 
由 于 状态 检测 防火 墙 可 以 在 OSI 模型 的 所 有 7 个 层次 上 进行 过 滤 ， 所 以 在 理论 上 应 该 具 
有 很 高 的 安全 性 ， 如 图 12-25 所 示 。 但 是 ， 现 在 的 大 多 数 状态 检测 防火 墙 只 工作 于 网 络 
层 ， 而 且 只 作为 动态 包 过 滤器 对 进出 网 络 的 数据 进行 过 滤 。 因 此 ， 它 对 数据 包 的 过 滤 还 
基于 对 源 地 址 、 目 的 IP 地 址 及 端口 号 的 检查 。 有 些 企业 声称 ， 这 是 管理 员 在 配置 防火 墙 
时 出 错 ， 许 多 管理 员 则 抱怨 采用 状态 监测 功能 将 造成 防火 墙 超 负荷 运行 ， 从 而 使 其 应 用 
受到 限制 。 


传输 层 


网 络 接口 网 络 接口 


外 部 网 络 内 部 网 络 
图 12-25 ”状态 检测 防火 墙 在 所 有 7 层 上 进行 过 滤 


1272 ”安全 性 分 析 


尽管 状态 检测 防火 墙 潜在 地 具有 在 全 部 7 层 上 过 滤 数 据 包 的 能 力 ， 但 是 许多 管理 员 
在 安装 防火 墙 时 仅 让 其 运行 在 OSI 的 网 络 层 上 ， 作 为 动态 包 过 滤 防 火 墙 使 用 。 前 面 已 指 
出 ， 状 态 检测 防火 墙 也 可 以 作为 电路 级 网 关 工作 ， 以 确定 是 否 允许 某 个 会 话 中 的 数据 包 
通过 防火 墙 。 例如， 状态 检测 防火 墙 可 以 验证 输入 数据 包 的 SYN、ACK 标志 位 和 序列 
号 是 否 符合 逻辑 。 然 而 ， 在 许多 实现 方案 中 ， 状 态 检测 防火 墙 仅 被 当 作 动 态 包 过 滤 防 火 
墙 使 用 ,并 且 人 允许 采用 单个 SYN 数据 包 建立 新 的 连接 , 这 是 非常 危险 的 。 有 的 状态 检测 
防火 墙 方案 不 能 对 内 部 主机 发 出 的 数据 包 的 序列 号 进行 检测 ， 这 可 能 导致 安全 缺陷 : 一 
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个 内 部 主机 可 以 非常 容易 地 伪装 成 其 他 内 部 主机 的 IP 地 址 , 在 防火 墙 上 为 进入 内 网 的 连 
接 打开 一 肩 门 。 

最 后 需要 说 明 的 是 ， 状 态 检测 防火 墙 可 以 模仿 应 用 级 网 关 。 状 态 检测 防火 墙 可 以 在 
应 用 层 上 对 每 个 数据 包 的 内 容 进 行 评 估 ， 并 且 能 够 确保 这 些 内 容 与 管理 员 根据 本 机 构 的 
安全 策略 所 设置 的 过 滤 规 则 相 匹 配 。 与 应 用 级 网 关 一 样 ， 状 态 检测 防火 墙 可 以 丢弃 那些 
在 应 用 头 〈Application Header) 中 含有 特定 指令 的 数据 包 。 例 如 ， 管 理 员 可 以 配置 状态 
检测 防火 墙 ， 让 它 丢 弃 包 含 “Put” 指 令 的 数据 包 。 然 而 ， 当 采用 单线 程 的 状态 检测 防火 
墙 进行 应 用 层 过 滤 时 ， 其 性 能 会 受到 很 大 的 影响 。 因 此 ， 管 理 员 为 获得 较 高 的 吞吐 率 以 
满足 网 络 对 速度 的 需求 , 通常 将 状态 检测 防火 墙 配置 成 动态 包 过 滤 防 火 墙 使 用 。 实际 上 ， 
状态 检测 防火 墙 的 默认 配置 就 是 采用 动态 包 过 滤 ， 而 没有 对 许多 广泛 使 用 的 协议 〈 如 
HTTP) 实施 状态 检测 。 

与 应 用 级 网 关 不 同 ， 状 态 检测 防火 墙 没 有 打破 用 “客户 /服务 器 ”模型 来 分 析 应 用 层 
数据 。 应 用 级 网 关 创 建 了 两 个 连接 : 一 个 连接 在 可 信 客 户 机 和 网 关 之 间 ， 另 一 个 连接 在 
网 关 和 不 可 信 主 机 之 间 。 网 关 在 这 两 个 连接 之 间 复 制 信息 。 这 是 应 用 代理 和 状态 检测 争 
论 的 核心 。 有 些 管理 员 坚 持 认 为 这 一 配置 确保 了 高 安全 性 ， 而 有 些 管理 员 则 认为 这 一 配 
置 降低 了 系统 的 性 能 。 为 了 提供 安全 的 连接 ， 状 态 检测 防火 墙 能 够 在 OSI 的 应 用 层 上 截 
获 和 检查 每 个 数据 包 。 遗 憾 的 是 ， 单 线程 状态 检测 进程 给 防火 墙 性 能 带 来 很 大 的 影响 ， 
所 以 管理 员 通 常 不 采用 这 一 配置 。 

状态 检测 防火 墙 依靠 检测 引擎 中 的 算法 来 识别 和 处 理应 用 层 数 据 。 这 些 算 法 将 数据 
包 与 授权 数据 包 的 已 知 比特 模式 相 比 较 。 有 些 厂商 声称 ， 在 理论 上 ， 它 们 的 状态 检测 防 
火 墙 在 过 滤 数 据 包 时 ， 要 比特 定 应 用 代理 更 加 高 效 。 然 而 ， 许 多 状态 检测 引擎 是 以 单线 
程 工作 的 ， 显 著 地 缩小 了 状态 监测 防火 墙 与 应 用 级 网 关 之 间 的 差别 。 例 如 ， 不 做 状态 检 
测 防火 墙 的 SMP 多 架构 防火 墙 与 普通 状态 检测 防火 墙 相 比 ， 吞 吐 量 之 比 为 4: 1， 并行 
会 话 能 力 之 比 高 达 12 : 1。 此 外 ， 由 于 受 状态 检测 引擎 中 所 使 用 的 检测 语言 的 限制 ， 现 
在 人 们 通常 使 用 应 用 级 网 关 来 代替 状态 检测 防火 墙 。 

总 之 ， 状 态 检测 防火 墙 具 有 以 下 优点 : 

(1) 具备 动态 包 过 滤 的 所 有 优点 ， 同 时 具有 更 高 的 安全 性 。 因 为 增加 了 状态 检测 机 
制 ， 所 以 能 够 抵御 利用 协议 细节 进行 的 攻击 。 

(2) 没有 打破 客户 /服务 器 模型 。 

(3) 提供 集成 的 动态 (状态 ) 包 过 滤 功 能 。 

(4) 当 以 动态 包 过 滤 模 式 运行 时 ， 其 速度 很 快 ， 当 采用 SMP 兼容 的 动态 包 过 滤 时 ， 
其 运行 速度 更 快 。 

状态 检测 防火 墙 具 有 以 下 缺点 : 

(1) 由 于 状态 检测 引擎 采用 单线 程 进程 ， 此 设计 将 对 防火 墙 的 性 能 产生 很 大 影响 。 
许多 用 户 将 状态 检测 防火 墙 当 作 动态 包 过 滤 防 火 墙 使 用 ， 过 滤 的 层次 仅 限 于 网 络 层 与 传 
输 层 ， 无 法 对 应 用 层 内 容 进行 检测 ， 也 就 无 法 防范 应 用 层 攻击 。 

(2) 许多 人 认为 ， 没 有 打破 “客户 /服务 器 ”结构 会 产生 不 可 接受 的 安全 风险 ， 因 为 
黑客 可 以 直接 与 受 保护 的 服务 器 建立 连接 。 
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(3) 如 果实 现 方案 依赖 于 操作 系统 的 Inetd 守护 程序 , 其 并 发 连接 数量 将 受到 严重 限 
制 ， 从 而 不 能 满足 当今 网 络 对 高 并 发 连接 数量 的 要 求 。 

(4) 仅 能 提供 较 低 水 平 的 安全 性 。 没 有 一 种 状态 检测 防火 墙 能 提供 高 于 通用 标准 
EAL2 的 安全 性 。EAL2 等 级 的 安全 产品 不 能 用 于 对 专 网 的 保护 。 


428 切换 代理 


12.8.1 工作 原理 


切换 代理 〈Cutoff Proxy) 实际 上 是 动态 (状态) 包 过 滤器 和 电路 级 代理 的 结合 。 
许多 实现 方案 中 ， 切 换代 理 首先 起 电路 级 代理 的 作用 ， 以 验证 RFC 建议 的 3 步 握手 ， 然 
后 再 切换 到 动态 包 过 滤 的 工作 模式 下 。 因 此 ， 切 换代 理 首 先 工 作 于 OSI 的 会 话 层 ， 即 第 
5 层 ， 当 连接 完成 后 ， 再 切换 到 动态 包 过 滤 模 式 ， 即 工作 于 OSI 的 第 3 层 。 切 换代 理 的 


工作 过 程 如 图 12-26 所 示 。 
传输 开始 传输 后 续 
应 用 层 应 用 层 
表示 层 表示 层 
会 话 层 会 话 层 
传输 层 传输 层 
网 络 层 网 络 层 
链 路 层 链 路 层 
物理 层 物理 层 | | 

内 部 网 络 | 四 络 接口 网 络 接口 | 外 部 网 络 paag TEET 网 络 接口 | 外 部 网 络 


12-26 切换 代理 的 工作 过 程 


有 些 厂 商 已 经 将 切换 代理 的 过 滤 能 力 拓 展 到 应 用 层 ， 使 其 在 切换 到 动态 包 过 滤 模式 
之 前 能 够 处 理 有 限 的 认证 信息 。 


128.2 ”安全 性 讨论 


前 面 已 讨论 了 切换 代理 的 工作 原理 ， 现 在 来 分 析 切 换代 理 的 缺点 。 我 们 知道 ， 切 换 
代理 与 传统 的 电路 级 代理 不 同 : 电路 级 代理 能 在 连接 持续 期 间 打 破 “ 客 户 /服务 器 ” 模式， 
而 切换 代理 却 不 能 。 远 端的 客户 机 与 防火 墙 后 面 受 保护 的 服务 器 之 间 仍然 能 够 建立 直接 
的 连接 。 切 换代 理 可 以 在 安全 性 和 性 能 两 者 之 间 找 到 一 个 平衡 点 。 在 谈 及 切换 代理 时 ， 
许多 厂商 吹 趴 切换 代理 不 仅 能 够 提供 与 电路 级 网 关 相同 的 安全 性 ， 而 且 能 够 提供 与 动态 
包 过 滤 防 火 墙 相同 的 性 能 。 

我 们 认为 ， 不 同类 型 的 防火 墙 结构 在 Intemet 安全 中 都 有 不 同 的 定位 。 如 果 安 全 策 
略 规定 需要 对 一 些 基本 的 服务 进行 认证 并 检查 3 步 握手 , 而 且 不 需要 打破 “客户 /服务 器 ” 
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模式 ， 那 么 切换 代理 就 是 一 个 非常 合适 的 选择 。 然 而 ， 管 理 员 必须 清醒 地 认识 到 ， 切 换 
代理 决 不 等 同 于 电路 级 代理 ， 因 为 在 建立 连接 期 间 ， 它 并 未 打破 “客户 /服务 器 ”的 工作 
模式 。 

总 之 ， 切 换代 理 具 有 以 下 优点 : 

(1) 与 传统 的 电路 级 网 关 相 比 ， 它 对 网 络 性 能 造成 的 影响 要 小 。 

(2) 由 于 对 3 步 握手 进行 了 认证 ， 所 以 降低 了 IP 欺骗 的 风险 。 

切换 代理 具有 以 下 缺点 : 

(1) 它 不 是 一 个 电路 级 网 关 。 

(2) 它 仍 然 具 有 动态 包 过 滤器 遗留 的 许多 缺陷 。 

(3) 由 于 没有 检查 数据 包 的 净 荷 部 分 ， 因 此 具有 较 低 的 安全 性 。 

(4) 难于 创建 规则 《〈 受 先后 次 序 的 影响 )。 

(5) 其 安全 性 不 及 传统 的 电路 级 网 关 。 


329 ”空气 隙 防火 墙 


12.9.1 工作 原理 


空气 隙 防火 墙 (Air Gap) 俗称 “安全 网 闻 ”， 它 是 现 有 防火 墙 结构 中 的 新 成 员 。 安 
全 网 闸 技术 是 模拟 人 工 拷 盘 的 工作 模式 ， 通 过 电子 开关 的 快速 切换 实现 两 个 不 同 网 段 的 
数据 交换 的 物理 隔离 安全 技术 。 安 全 网 闸 技术 源 于 被 称 为 “Air Gap” 的 安全 技术 ， 它 本 
意 是 指 由 空气 形成 的 用 于 隔离 的 缝隙 。 在 网 络 安全 技术 中 ， 主 要 指 通过 专用 的 硬件 设备 
在 物理 不 连通 的 情况 下 ， 实 现 两 个 独立 网 络 之 间 的 数据 安全 交换 和 资源 共享 。 目 前 ， 有 
关 空 气 隙 防火 墙 技 术 的 是 非 争 论 还 在 继续 。 其 实 ， 空 气 隙 防火 墙 的 工作 原理 非常 简单 。 
首先 ， 外 部 客户 机 与 防火 墙 之 间 的 连接 数据 被 写 入 一 个 具有 SCSI 接口 的 高 速 硬 盘 中 ， 
然后 内 部 的 连接 再 从 该 SCSI 硬盘 中 读 取 数 据 。 由 于 防火 墙 切 断 了 客户 机 到 服务 器 的 直 
接连 接 ， 并 且 对 硬盘 数据 的 读 / 写 操作 都 是 独立 进行 的 ， 因 此 人 们 相信 空气 隙 防火 墙 能 够 
提供 高 度 的 安全 性 。 其 结构 如 图 12-27 所 示 。 

从 图 12-27 中 可 以 看 出 ， 它 由 3 个 组 件 构成 : 4 网 处 理 机 、B 网 处 理 机 和 GAP 开关 
设备 。 可 以 很 清楚 地 看 到 连接 两 个 网 络 的 GAP 设备 不 能 同时 连接 到 相互 独立 的 4 网 和 B 
网 中 ， 即 GAP 在 某 一 时 刻 只 与 其 中 某 个 网 络 相连 。GAP 设备 连接 4 网 时 ， 它 是 与 网 
断 开 的 ，4 网 处 理 机 把 数据 放 入 GAP 中 ; GAP 在 接收 完 数据 后 自动 切换 到 B 网 ， 同 时 ， 
GAP 与 4 网 断 开 ; B 网 处 理 机 从 GAP 中 取出 数据 ， 并 根据 合法 数据 的 规则 进行 严格 的 
检查 ， 判 断 这 些 数据 是 否 合法 ， 若 为 非法 数据 ， 则 删除 它们 。 同 理 ，B 网 也 以 同样 的 方 
式 通 过 GAP 将 数据 安全 地 交换 到 4 网 中 。 从 4 网 处 理 机 往 GAP 放 入 数据 开始 ， 到 B 网 
处 理 机 从 GAP 中 取出 数据 并 检查 结束 ， 就 完成 了 一 次 数据 交换 。GAP 就 这 样 在 4 网 处 
理 机 与 B 网 处 理 机 之 间 来 回 往复 地 进行 实时 数据 交换 。 在 通过 GAP 交换 数据 的 同时 ，4 
网 和 B 网 仍然 是 相互 隔离 的 。 
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图 12-27 ”空气 隙 防火 墙 结构 


安全 网 闹 如 何 保证 网 络 的 安全 性 呢 ? 首先 ， 这 两 个 网 络 一 直 是 隔离 的 ， 在 两 个 网 络 
之 间 只 能 通过 GAP 来 交换 数据 。 当 两 个 网 络 的 处 理 机 或 GAP 三 者 中 的 任何 一 个 设备 出 
现 问 题 时 ， 都 无 法 通过 GAP 进入 另 一 个 网 络 ， 因 为 它们 之 间 没 有 物理 连接 ; 第 二 ，GAP 
只 交换 数据 ， 不 直接 传输 TCP/IP 数据 包 ， 这 样 就 避免 了 TCP/IP 的 漏洞 ， 第 三 ， 任 何 一 
方 接收 到 数据 ,都 要 对 数据 进行 严格 的 内 容 检 测 和 病毒 扫描 , 严格 控制 非法 数据 的 交流 。 
GAP 安全 性 的 高 低 关 键 在 于 其 对 数据 内 容 检测 的 强 弱 。 若 不 做 任何 检测 ， 虽 然 是 隔离 的 
两 个 网 络 ， 也 能 传输 非法 数据 、 病 毒 或 木马， 甚至 利用 应 用 协议 漏洞 通过 GAP 设备 从 一 
个 网 络 直接 进入 另 一 个 网 络 。 此 时 ，GAP 的 作用 将 大 打折 扣 。 

空气 隙 防火 墙 的 工作 原理 与 应 用 级 网 关 非 常 相 似 ， 要 把 空气 隙 技术 同 应 用 级 网 关 技 
术 加 以 区 分 是 非常 困难 的 。 两 者 的 主要 差别 是 : 空气 隙 技术 分 享 的 是 一 个 公共 的 SCSI 高 
速 硬 盘 ， 而 应 用 级 网 关 技 术 分 享 的 是 一 个 公共 的 内 存 。 另 外 ， 空 气 隙 防火 墙 由 于 采用 了 
外 部 进程 《SCSI 驱动， 所 以 性 能 上 受到 限制 ， 而 应 用 级 网 关 防 火 墙 是 在 内 核 存储 空间 
上 运行 内 核 硬化 的 安全 操作 系统 ， 在 同样 安全 性 的 情况 下 ， 性 能 却 大 大 地 提高 了 。 

关于 空气 隙 防火 墙 的 各 项 指标 还 有 待 于 由 第 三 方 权威 机 构 进 行 检 验 。 但 是 ， 目 前 大 
多 数 空气 隙 防火 墙 产 品 的 性 能 远 远 地 落 后 于 传统 的 应 用 级 网 关 防 火 墙 产品 。 如 果 没 有 得 
到 权威 机 构 提 供 的 安全 性 报告 ， 对 许多 系统 管理 员 来 说 ， 使 用 空气 隙 防火 墙 不 能 不 考虑 
性 能 上 的 损失 。 


12.9.2 ”安全 性 分 析 


尽管 作为 物理 安全 设备 ， 安 全 网 闸 提供 的 高 安全 性 是 显而易见 的 ， 但 是 由 于 其 工作 
原理 的 特殊 性 ， 决 定 了 安全 网 闸 存 在 一 些 不 可 避免 的 缺陷 。 

安全 性 和 易 用 性 始终 是 矛盾 的 。 在 已 有 的 防火 墙 、VPN 及 AAA 认证 设备 等 安全 设 
施 的 多 重 构架 环境 中 ， 安 全 网 闸 产品 的 加 入 使 网 络 日 趋 复杂 化 : 正常 的 访问 连接 越 来 越 
多 地 受到 各 种 不 可 见 和 不 易 见 的 因素 的 干扰 和 影响 ， 已 经 配置 好 的 各 种 网 络 产品 和 安全 
产品 ， 可 能 由 于 安全 网 闸 的 配置 不 当 而 受到 影响 ， 许 多 网 络 由 于 采用 了 多 重 过 滤 的 安全 
结构 ， 其 性 能 本 来 就 有 所 下 降 ， 而 安全 网 闸 的 加 入 使 网 络 性 能 瓶颈 问题 更 加 突出 。 因 为 
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电子 开关 切换 速率 的 固有 特性 和 安全 过 滤 功 能 的 复杂 化 ， 目 前 安全 网 闸 的 交换 速率 已 接 
近 该 技术 的 理论 速率 极限 。 可 以 预见 ， 在 不 久 的 将 来 ， 随 着 高 速 网 络 技术 的 发 展 ， 安 全 
网 闸 在 交换 速率 上 的 问题 将 会 成 为 阻碍 网 络 数据 交换 的 重要 因素 。 

总 之 ， 空 气 隙 防火 墙 具 有 以 下 优点 : 

(1) 切断 了 与 防火 墙 后 面 服务 器 的 直接 连接 ， 消 除了 隐 信 道 攻击 的 风险 。 

(2) 采用 强 应 用 代理 对 协议 头 长 度 进 行 检测 ， 因 此 能 够 消除 缓冲 器 溢出 攻击 。 

(3) 与 应 用 级 网 关 结 合 使 用 ， 空 气 隙 防火 墙 能 提供 很 高 的 安全 性 。 

空气 隙 防火 墙 具有 以 下 缺点 : 

(1) 它 会 在 很 大 程度 上 降低 网 络 的 性 能 。 

(2) 只 支持 静态 数据 交换 ， 不 支持 交互 式 访问 。 

(3) 适用 范围 窗 ， 必 须根 据 具 体 应 用 开发 专用 的 交换 模块 。 

(4) 系统 配置 复杂 ， 安 全 性 在 很 大 程度 上 取决 于 网 络 管理 员 的 技术 水 平 。 

(5) 结构 复杂 ， 实 施 费用 较 高 。 

(6) 可 能 造成 其 他 安全 产品 不 能 正常 工作 ， 并 带 来 瓶颈 问题 。 


1210 分 布 式 防 火 墙 


传统 意义 上 的 边界 防火 墙 用 于 限制 被 保护 系统 内 部 网 络 与 外 部 网 络 〈 通 常 是 因 特 
网 ) 之 间 进 行 信 息 存 取 、 传 递 的 操作 ， 它 所 处 的 位 置 在 内 部 网 络 与 外 部 网 络 之 间 。 实 
际 上 ， 所 有 以 前 出 现 的 各 种 不 同类 型 的 防火 墙 ， 从 简单 的 包 过 滤 到 应 用 层 代 理 以 至 自 
适应 代理 ， 都 是 基于 一 个 共同 的 假设 ， 那 就 是 防火 墙 把 内 部 网 络 一 端的 用 户 看 成 是 可 
信任 的 ， 外 部 网 络 一 端的 用 户 则 都 被 作为 潜在 的 攻击 者 来 对 待 。 这 种 假设 是 整个 防火 
墙 开发 的 指导 思想 和 工作 机 制 。 但 随 着 最 近 几 年 各 种 网 络 技术 的 发 展 和 各 种 新 的 攻击 
情况 不 断 出 现 ， 防 火 墙 “ 防 外 不 防 内 ”的 特点 成 为 导致 安全 隐患 的 一 个 新 因素 。 据 统 
计 , 80% 的 攻击 和 越权 访问 来 自 于 内 部 , 而 边界 防火 墙 在 对 付 网 络 内 部 威胁 时 束手无策 。 
如 何 控制 内 部 网 络 的 攻击 成 为 一 个 新 的 课题 ， 一 种 新 型 防火 墙 一 一 “分 布 式 防火 墙 ” 
应 运 而 生 。 


12.10.1 工作 原理 


分 布 式 防火 墙 通常 由 3 个 部 分 组 成 ， 分 别 是 网 络 防火 墙 、 主 机 防火 墙 和 管理 中 心 。 

网 络 防火 墙 用 于 内 部 网 与 外 部 网 之 间 ， 以 及 内 部 网 各 子 网 之 间 的 防护 。 与 传统 边界 
式 防火 墙 相 比 ， 它 多 了 一 种 用 于 对 内 部 子 网 之 间 的 安全 防护 层 ， 这 样 整个 网 络 的 安全 防 
护 体系 就 显得 更 加 全 面 可 靠 。 不 过 在 功能 上 与 传统 的 边界 式 防火 墙 类 似 。 

主机 防火 墙 用 于 对 网 络 中 的 服务 器 和 桌面 机 进行 防护 。 这 也 是 传统 边界 式 防 火 墙 所 
不 具有 的 ， 也 算是 对 传统 边界 式 防火 墙 在 安全 体系 方面 的 一 个 完善 。 主 机 防火 墙 通常 是 
内 核 模式 应 用 ， 它 位 于 操作 系统 OSI 栈 的 底部 ， 直 接 面 对 网 卡 ， 它 们 对 所 有 的 信息 流 进 
行 过 滤 与 限制 。 也 有 一 些 国际 著名 网 络 设 备 开发 商 〈 如 3COM 和 Cisco 等 ) LA PCI 卡 或 
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PCMCIA 卡 的 形式 开发 了 主机 防火 墙 。 

管理 中 心 是 一 个 服务 器 软件 ， 负 责 总 体 安全 策略 的 策划 、 管 理 、 分 发 及 日 志 的 汇总 。 

这 里 的 主机 防火 墙 与 个 人 防火 墙 有 相似 之 处 ， 如 它们 都 对 应 个 人 系统 ， 但 其 差别 又 
是 本 质 性 的 。 首 先 它们 管理 方式 迎 然 不 同 ， 个 人 防火 墙 的 安全 策略 由 系统 使 用 者 自己 设 
置 ， 目 标 是 防 外 部 攻击 ， 而 针对 桌面 应 用 的 主机 防火 墙 的 安全 策略 由 整个 系统 的 管理 员 
统一 安排 和 设置 ， 除 了 对 该 桌面 机 起 到 保护 作用 外 ， 也 可 以 对 该 桌面 机 的 对 外 访问 加 以 
控制 ， 并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 的 。 其 次 ， 不 同 于 个 人 防 
火 墙 面向 个 人 用 户 ， 针 对 桌面 应 用 的 主机 防火 墙 是 面向 企业 级 客户 的 ， 它 与 分 布 式 防火 
墙 其 他 产品 共同 构成 一 个 企业 级 应 用 方案 ， 并 可 以 形成 一 个 安全 策略 中 心 统一 管理 、 安 
全 检查 机 制 分 散布 置 的 分 布 式 防火 墙 体系 结构 。 


12.10.2 “分布 式 防火 墙 的 优 缺 点 


1. 优点 

(1) 增强 了 系统 安全 性 。 增 加 了 针对 主机 的 入 侵 检测 和 防护 功能 ， 加 强 了 对 来 自 内 
部 攻击 的 防范 ， 可 以 实施 全 方位 的 安全 策略 。 

(2) 提高 了 系统 性 能 。 消 除了 结构 性 瓶颈 问题 ， 提 高 了 系统 性 能 。 

(3) 提供 了 系统 的 扩展 性 。 分 布 式 防火 墙 随 系 统 扩 充 提 供 了 安全 防护 无 限 扩充 的 
能 力 。 

(4) 可 实施 主机 策略 。 对 网 络 中 的 各 节点 可 以 起 到 更 安全 的 防护 。 


2. 缺点 

(1) 系统 部 署 时 间 比 较 长 、 复 杂 度 高 ， 后 期 的 维护 工作 量 较 大 。 

(2) 软件 实现 的 主机 防火 墙 有 可 能 受到 来 自 系 统 内 部 的 攻击 ， 或 者 受到 系统 自身 安 
全 性 的 影响 。 


on ”防火 墙 的 发 展 趋势 


未 来 防火 墙 的 发 展 趋势 是 朝 高 速 、 多 功能 化 、 更 安全 的 方向 发 展 。 为 了 满足 高 速 化 ， 
防火 墙 必须 从 现在 的 以 软件 为 主 向 以 硬件 为 主 转化 。 硬 件 化 评判 的 标准 是 看 在 数据 转发 
控制 的 过 程 中 ， 是 由 软件 完成 还 是 硬件 完成 。 以 往 的 防火 墙 产品 ， 大 多 通过 编写 软件 ， 
利用 CPU 的 运算 能 力 进 行 数据 处 理 ， 而 硬件 化 的 系统 应 该 使 用 专用 的 芯片 级 处 理 机 制 ， 
如 使 用 ASIC 防火 墙 芯片 、 网 络 处 理 器 芯片 和 FPGA 芯片 。 


12.11.1 硬件 化 


在 网 络 带 宽 日 渐 增 大 的 情况 下 ， 防 火 墙 的 性 能 成 为 关注 的 焦点 。 要 解决 性 能 方面 的 
问题 ， 唯 一 的 出 路 就 是 硬件 化 。 如 同 路 由 器 的 发 展 经 过 了 由 软 到 硬 的 转变 一 样 ， 防 火 墙 
产品 也 走 到 了 这 个 关口 。 从 性 能 上 看 传统 的 CPU 主机 + 软件 的 方式 ， 无 论 是 系统 总 线 、 
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VO 接口 ， 还 是 CPU 的 处 理 能 力 都 显得 力不从心 ， 防 火 墙 正在 成 为 网 络 的 最 大 的 瓶颈 。 
因此 如 何 把 防火 墙 从 软件 转变 为 硬件 以 提高 性 能 ， 成 为 防火 墙 发 展 道路 上 的 一 个 新 
问题 。 

目前 防火 墙 的 硬件 化 主要 有 两 条 路 : 基于 ASIC 芯片 的 防火 墙 和 基于 网 络 处 理 器 的 
防火 墙 。 下 面 分 析 这 两 种 技术 架构 各 自 的 特点 。 

网 络 处 理 器 是 专门 为 处 理 数 据 包 而 设计 的 可 编程 处 理 器 ， 它 的 硬件 特点 是 内 部 包含 
多 个 数据 处 理 引擎 , 这 些 引擎 可 以 并 发 进行 数据 处 理工 作 , 在 处 理 2 一 4 层 的 分 组 数据 上 
比 通用 处 理 器 具有 明显 的 优势 。 网 络 处 理 器 对 数据 包 处 理 的 一 般 性 任务 进行 了 优化 ， 如 
TCP/IP 数据 的 校 验 和 计算 、 包 分 类 、 路 由 查找 等 。 同 时 硬件 体系 结构 的 设计 也 大 多 采用 
高 速 的 接口 技术 和 总 线 规范 ， 具 有 较 高 的 VO 能 力 。 这 样 基于 网 络 处 理 器 设计 的 网 络 设 
备 的 包 处 理 能 力 得 到 了 很 大 提升 。 它 具有 以 下 几 个 方面 的 特性 : 完全 的 可 编程 性 、 简 单 
的 编程 模式 、 最 大 化 系统 灵活 性 、 高 处 理 能 力 、 高 度 功 能 集成 、 开 放 的 编程 接口 和 第 三 
方 支持 能 力 。 基 于 网 络 处 理 器 架构 的 防火 墙 与 基于 通用 CPU 架构 的 防火 墙 相 比 , 在 性 能 
上 可 以 得 到 本 质 的 提高 。 网 络 处 理 器 能 弥补 通用 CPU 架构 性 能 的 不 足 ， 同 时 又 不 需要 具 
备 开发 基于 ASIC 技术 的 防火 墙 所 需要 的 大 量 资金 和 技术 积累 。 更 关键 的 是 ， 网 络 处 理 
器 是 可 编程 的 ， 对 于 防火 墙 产品 ， 这 种 灵活 性 是 非常 必要 的 。 

第 2 种 方案 是 采用 基于 ASIC 技术 的 架构 。Netscreen 公司 是 采用 该 技术 的 代表 厂家 。 
采用 ASIC 技术 可 以 为 防火 墙 应 用 设计 专门 的 数据 包 处 理 流 水 线 ， 优 化 存储 器 等 资源 的 
利用 ， 是 公认 的 实现 千 兆 线 速 防火墙 、 满 足 千 兆 骨干 级 应 用 的 技术 方案 。Netscreen 公司 
也 因此 取得 了 令 人 瞩目 的 成 功 。 但 ASIC 技术 开发 成 本 高 ， 开 发 周期 长 且 难 度 大 ， 一 般 
的 防火 墙 厂商 不 具备 相应 的 技术 和 资金 实力 。 另外, ASIC 的 灵活 性 也 是 阻碍 其 被 采用 的 
原因 之 一 。 目 前 也 有 些 设计 方案 采用 FFGA+ASIC 的 方式 ， 以 获取 足够 的 性 能 和 相对 的 
灵活 性 。 


12.11.2 多 功能 


多 功能 也 是 防火 墙 的 发 展 方向 之 一 ， 鉴 于 目前 路 由 器 和 防火 墙 价格 都 比较 高 ， 组 网 
环境 也 越 来 越 复杂 ， 一 般 用 户 总 希望 防火 墙 可 以 支持 更 多 的 功能 ， 满 足 组 网 和 节省 投资 
的 需要 。 例 如 ， 防 火 墙 支持 广域网 口 ， 并 不 影响 安全 性 ， 但 在 某 些 情况 下 却 可 以 为 用 户 
节省 一 台 路 由 器 ， 支 持 部 分 路 由 器 协议 ， 如 路 由 、 拨 号 等 ， 可 以 更 好 地 满足 组 网 需要 ; 
支持 IPSec VPN， 可 以 利用 因特网 组 建安 全 的 专用 通道 ， 既 安全 又 节省 了 专线 投资 。 据 
IDC 统计 ， 国 外 90% 的 加 密 VPN 都 是 通过 防火 墙 实现 的 。 

不 仅 如 此 , 防火 墙 还 被 要 求 不 再 仅仅 是 一 个 被 动 安全 产品 , 要 具有 主动 安全 的 功能 ， 
比如 具有 入 侵 检测 功能 或 者 具备 与 入 侵 检测 产品 联动 的 功能 ， 以 实现 对 攻击 行为 的 及 时 
阻 断 。 防 火 墙 需要 提供 认证 机 制 ， 无 论 是 防火 墙 本 地 认证 或 者 是 第 三 方 认证 ， 比 如 
Radius 等 ， 来 实现 对 不 同 的 内 部 用 户 ， 提 供 不 同 的 网 络 访问 权限 。 甚 至 随 着 IPv6 网 络 的 
出 现 ， 从 IPv4 到 IPv6 网 络 的 相互 转换 也 可 能 作为 对 防火 墙 功能 的 一 个 新 的 需求 。 作 为 
网 络 出 口 〈 入 口 ) 的 设备 ， 由 于 路 由 器 功能 的 相对 明确 ， 越 来 越 多 的 功能 都 将 被 赋予 防 
火 墙 。 
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12.11.3 ”安全 性 


调查 显示 ， 用 户 对 于 防火 墙 关注 的 重点 是 性 能 、 功 能 和 易 用 性 ， 却 往往 忽视 了 防火 
墙 最 重要 的 一 点 : 安全 性 。 但 是 ， 随 着 防火 墙 产品 性 能 与 功能 的 提升 ， 未 来 对 防火 墙 的 
价值 取向 将 逐步 回归 到 本 质 一 一 安全 。 从 前 面 提 到 的 各 种 防火 墙 的 优 缺 点 可 以 看 出 ， 目 
前 广泛 应 用 的 基于 状态 检测 的 包 过 滤 防 火 墙 ， 其 安全 性 并 不 是 最 高 的 。 由 于 检测 的 深度 
只 能 达到 传输 层 ， 对 于 针对 应 用 层 的 攻击 无 能 为 力 ， 安 全 性 有 待 进一步 提高 。 随 着 算法 
和 芯片 技术 的 发 展 ， 防 火 墙 会 更 多 地 参与 应 用 层 分 析 ， 为 应 用 提供 更 安全 的 保障 。 在 信 
息 安全 的 发 展 与 对 抗 过 程 中 ， 防 火 墙 技术 一 定 会 日 新 月 异 ， 从 而 在 信息 安全 的 防御 体系 
中 起 到 堡 爸 的 作用 。 


习 wm 
y 填空 题 
1. 防火 墙 应 位 于 
A. 公司 网 络 内 部 B. 公司 网 络 外 部 
C. 公司 网 络 与 外 部 网 络 之 间 D. 都 不 对 

2. 应 用 网 关 的 安全 性 包 过 滤 防 火 墙 。 

A. 不 如 B. 超过 C SF D. 都 不 对 

3. 防火 墙 可 以 分 为 ` x x 3 s 
和 7 种 类 型 。 

4. 静态 包 过 滤 防 火 墙 工作 于 OSI 模型 的 层 上 , 它 对 数据 包 的 某 些 特定 域 进 
行 检查 ， 这 些 特定 域 包括 : 5 $ $ 和 

5. 动态 包 过 滤 防 火 墙 工作 于 OSI 模型 的 层 上 , 它 对 数据 包 的 某 些 特定 域 进 
行 检查 ， 这 些 特定 域 包括 : s a : 和 

6. 电路 级 网 关 工 作 于 OSI 模型 的 层 上 ， 它 检查 数据 包 中 的 数据 分 别 
为 Š š ‘ All j 

7. 应 用 级 网 关 工 作 于 OSI 模型 的 Bk, 它 可 以 对 整个 数据 包 进 行 检查 ， 因 
此 其 安全 性 最 高 。 

8. 状态 检测 防火 墙 工 作 于 OSI 模型 的 Bb, 所 以 在 理论 上 具有 很 高 的 安全 
性 ， 但 是 现 有 的 大 多 数 状 态 检测 防火 墙 只 工作 于 层 上 ， 因 此 其 安全 性 与 包 过 滤 
防火 墙 相当 。 

9. 切换 代理 在 连接 建立 阶段 工作 于 OSI 模型 的 层 上 ， 当 连接 建立 完成 之 
后 ， 再 切换 到 模式 ， 即 工作 于 OSI 模型 的 层 上 。 

10. 空气 隙 防火 墙 也 称 做 ， 它 在 外 网 和 内 网 之 间 实 现 了 真正 的 ‘i 

二 、 思 考题 


1. 防火 墙 一 般 有 几 个 接口 ? 什么 是 防火 墙 的 非 军事 区 (DMZ) ? 它 的 作用 是 什么 ? 
2. 为 什么 防火 墙 要 具有 NAT 功能 ? 在 NAT 中 为 什么 要 记录 端口 号 ? 
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3. 系统 中 提 到 了 NAT 的 几 种 实现 方式 ， 试 着 给 出 M-N 的 NAT 转换 算法 。 

4. 防火 墙 必 须 同 时 兼 有 路 由 器 功能 吗 ? 为 什么 ? 

5. 简 述 静态 包 过 滤 防 火 墙 的 工作 原理 ， 并 分 析 其 优 缺点 。 动 态 包 过 滤 防 火 墙 与 静态 
包 过 滤 防 火 墙 的 主要 区 别 是 什么 ? 

6. 分 组 过 滤 的 3 大 操作 是 什么 ? 

7. 结合 实际 操作 ， 描 述 动态 防火 墙 在 TCP 连接 终止 时 的 状态 转换 。 

8. 电路 级 网 关 与 包 过 滤 防 火 墙 有 何不 同 ? 简 述 电路 级 网 关 的 优 缺 点 。 

9. 应 用 级 网 关 与 电路 级 网 关 有 何不 同 ? 简 述 应 用 级 网 关 的 优 缺点 。 

10. 下 载 TIS， 配 置 应 用 层 网 关 防 火 墙 。 

LL. 状态 检测 防火 墙 与 应 用 级 网 关 有 何不 同 ? 简 述 状态 检测 防火 墙 的 优 缺 点 。 

12. 切换 代理 在 连接 建立 阶段 工作 于 会 话 层 ， 而 在 连接 完成 后 工作 于 网 络 层 ， 这 样 
的 设计 有 何 好 处 ? 简 述 切换 代理 的 优 缺点 。 

13. 为 什么 说 空气 隙 防火 墙 能 够 实现 物理 隔离 ? 简 述 空气 隙 防火 墙 的 优 缺 点 。 

14. 防火 墙 有 什么 局 限 性 ? 

15. 软件 防火 墙 与 硬件 防火 墙 之 间 的 区 别 是 什么 ? 
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BI “入侵 检测 概述 


入 侵 检测 系统 Cntrusion Detection System, IDS) 的 发 展 已 有 30 年 历史 。1980 年 4 
H, James P. Anderson 为 美国 空军 做 了 一 份 题 为 “Computer Security Threat Monitoring and 
Surveillance”( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 , 第 一 次 详细 阐述 了 入 侵 检 测 的 
概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 , 并 将 威胁 分 为 外 部 渗透 、 
内 部 渗透 和 不 法 行为 3 种 ， 还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 这 份 报 告 
被 公认 为 是 入 侵 检测 的 开山 之 作 。 

从 1984 年 到 1986 年 ， 乔治 敦 大 学 的 Dorothy Denning 和 SRLCSL (SRI 公司 计算 机 
科学 实验 室 ) 的 Peter Neumann 研究 设计 了 一 个 实时 入 侵 检 测 系统 模型 ， 取 名 为 入 侵 检 
测 专家 系统 (Intrusion Detection Expert System，IDES)。 该 模型 由 6 个 部 分 组 成 : 主体 、 
对 象 、 审 计 记录 、 轮 廓 特征 、 异 常 记录 和 活动 规则 。1988 年 ，SRICSL 的 Teresa Lunt 
等 人 改进 了 Denning 的 入 侵 检测 模型 ， 并 开发 出 了 一 个 新 型 的 IDES。 该 系统 包括 一 个 异 
常 探测 器 和 一 个 专家 系统 ， 分 别 用 于 统计 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检 测 。 

1990 年 是 入 侵 检测 系统 发 展 史 上 的 一 个 分 水 岭 ， 加 州 大 学 戴 维 斯 分 校 的 工 工 
Heberlein 等 人 开发 出 了 网 络 安全 监视 器 (Network Security Monitor，NSM)。 该 系统 第 一 
次 直接 将 网 络 流 作 为 审计 数据 来 源 ， 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 情况 下 
监控 异种 主机 。 此 后 ， 入 侵 检测 系统 发 展 史 翻 开 了 新 的 一 页 ， 两 大 阵营 正式 形成 : 基于 
网 络 的 IDS 和 基于 主机 的 IDS. 

IDS 不 间断 地 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 上 收集 信息 ， 集 中 或 分 布 
地 分 析 信息 ， 判 断 来 自 网 络 内 部 和 外 部 的 入 侵 企 图 ， 并 实时 发 出 报警 。IDS 的 主要 作 
用 是 : 
通过 检测 和 记录 网 络 中 的 攻击 事件 ， 阻 断 攻击 行为 ， 防 止 入 侵 事件 的 发 生 。 
检测 其 他 未 授权 操作 或 安全 违规 行为 。 
统计 分 析 黑 客 在 攻击 前 的 探测 行为 ， 预 先 给 管理 员 发 出 警报 。 

告 计 算 机 系统 或 网 络 中 存在 的 安全 威胁 。 
提供 有 关 攻 击 的 详细 信息 ， 帮 助 管理 员 诊断 和 修补 网 络 中 存在 的 安全 弱点 。 
在 大 型 复杂 的 计算 机 网 络 中 部 署 入 侵 检测 系统 ， 提 高 网 络 安全 管理 的 质量 。 
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13.1.1 入 侵 检测 的 概念 


入 侵 〈Intrusion) 是 个 广义 概念 ， 它 不 仅 包括 攻击 者 〈《 如 恶意 的 黑客 ) 非法 取得 系 
统 的 控制 权 的 行为 ， 也 包括 他 们 对 系统 漏洞 信息 的 收集 ， 并 由 此 对 信息 系统 造成 危害 的 
行为 。 

美国 国家 安全 通信 委员 会 (NSTAC) 下 属 的 入 侵 检测 小 组 ADSG) 在 1997 年 给 出 
的 关于 “入 侵 检测 ”(Intrusion Detection) 的 定义 是 : 入 侵 检 测 是 对 企图 入 侵 、 正 在 进行 
的 入 侵 或 已 经 发 生 的 入 侵 行为 进行 识别 的 过 程 。 

关于 “入 侵 检测 ”的 定义 ， 人 们 还 有 很 多 不 同 的 提 法 ， 其 中 包括 如 下 几 种 说 法 : 

(1) 检测 对 计算 机 系统 的 非 授权 访问 。 

(2) 对 系统 的 运行 状态 进行 监视 ， 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ， 以 保 
证 系统 资源 的 保密 性 、 完 整 性 和 可 用 性 。 

G) 识别 针对 计算 机 系统 和 网 路 系统 或 广义 上 的 信息 系统 的 非法 攻击 ， 包 括 检测 外 
部 非法 入 侵 者 的 恶意 攻击 或 探测 ， 以 及 内 部 合法 用 户 越权 使 用 系统 资源 的 非法 行为 。 

所 有 能 够 执行 入 侵 检测 任务 和 实现 入 侵 检测 功能 的 系统 都 可 称 为 入 侵 检测 系统 
(Intrusion Detection System，IDS)， 其 中 包括 软件 系统 或 软 、 硬 件 结合 的 系统 。 一 个 通用 
的 入 侵 检测 系统 模型 如 图 13-1 所 示 。 


知识 库 

i 

配置 信息 wa | 
i 1 i 

数据 收集 器 ] “控制 动作 
审计 数据 等 
目标 系统 


图 13-1 通用 的 入 侵 检 测 系统 模型 


在 图 13-1 中 ， 通 用 入 侵 检测 系统 模型 主要 由 4 个 部 分 组 成 。 

(1) 数据 收集 器 〈 又 称 探 测 器 )。 主 要 负责 收集 数据 。 探 测 器 的 输入 数据 流 包括 任何 
可 能 包含 入 侵 行为 线索 的 系统 数据 ， 如 各 种 网 络 协议 数据 包 、 系 统 日 志文 件 和 系统 调用 
记录 等 。 探 测 器 将 这 些 数据 收集 起 来 ， 然 后 再 发 送 到 检测 器 进行 处 理 。 

(2) 检测 器 (又 称 分 析 器 或 检测 引擎 )。 负 责 分 析 和 检测 入 侵 的 任务 ， 并 向 控制 器 发 
出 警报 信号 。 

G) 知识 库 。 为 检测 器 和 控制 器 提供 必需 的 数据 信息 支持 。 这 些 信息 包括 : 用 户 历 
史 活 动 档案 或 检测 规则 集合 等 。 

(4) 控制 器 。 根 据 从 检测 器 发 来 的 警报 信号 ， 人 工 或 自动 地 对 入 侵 行为 做 出 响应 。 

此 外 ， 大 多 数 入 侵 检 测 系统 都 会 包含 一 个 用 户 接口 组 件 ， 用 于 观察 系统 的 运行 状态 
和 输出 信号 ， 并 对 系统 的 行为 进行 控制 。 
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13.1.2 IDS 的 主要 功能 


入 侵 检测 是 对 传统 安全 产品 的 合理 补充 ， 帮 助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 
员 的 安全 管理 能 力 〈 包 括 安全 审计 、 监 视 、 进 行 识 别 和 响应 )， 提 高 了 信息 安全 基础 结构 
的 完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ， 并 分 析 这 些 信 息 ， 查 看 网 络 
中 是 否 有 违反 安全 策略 的 行为 和 遭 到 柳 击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 
道 安 全 闸门 ， 能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监测 ， 从 而 提供 对 内 部 攻击 、 外 
部 攻击 和 误 操作 的 实时 保护 。 以 上 功能 都 是 通过 执行 以 下 任务 来 实现 : 

(1) 监视 、 分 析 用 户 及 系统 的 活动 。 

(2) 系统 构造 和 弱点 的 审计 。 

G) 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 员 报 警 。 

(4) 异常 行为 模式 的 统计 分 析 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 。 

(6) 操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 

对 于 一 个 成 功 的 入 侵 检测 系统 来 说 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 ( 包 
括 程序 、 文 件 和 硬件 设备 ) 的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制定 提供 依据 。 更 为 重 
要 的 是 ， 它 应 该 易于 管理 、 配 置 简单 ， 即 使 非 专业 人 员 也 易于 使 用 。 而 且 ， 入 侵 检测 的 
规模 还 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 入 侵 
后 会 及 时 做 出 响应 ， 包 括 切 断 网 络 连接 、 记 录 事 件 和 报警 等 。 

IDS 的 主要 功能 如 下 : 

(1) 网 络 流量 的 跟踪 与 分 析 功 能 。 跟 踪 用 户 进出 网 络 的 所 有 活动 ， 实 时 检测 并 分 析 
用 户 在 系统 中 的 活动 状态 ， 实 时 统计 网 络 流量 ， 检 测 拒 绝 服务 攻击 等 异常 行为 。 

(2) 已 知 攻击 特征 的 识别 功能 。 识 别 特定 类 型 的 攻击 ， 并 向 控制 台 报 警 ， 为 防御 提 
供 依据 。 根 据 定制 的 条 件 过 滤 重 复 警 报 事件 ， 减 轻 传输 与 响应 的 压力 。 

G) 异常 行为 的 分 析 、 统 计 与 响应 功能 。 分 析 系 统 的 异常 行为 模式 ， 统 计 异 常 行为 ， 
并 对 异常 行为 做 出 响应 。 

(4) 特征 库 的 在 线 和 离线 升级 功能 。 提 供 入 侵 检测 规则 在 线 和 离线 升级 ， 实 时 更 新 
入 侵 特征 库 ， 不 断 提高 IDS 的 入 侵 检测 能 力 。 

(5) 数据 文件 的 完整 性 检查 功能 。 检 查 关 键 数 据 文件 的 完整 性 ， 识 别 并 报告 数据 文 
件 的 改动 情况 。 

(6) 自 定义 的 响应 功能 。 定 制 实时 响应 策略 ;根据 用 户 定义 ， 经 过 系统 过 滤 ， 对 警 
报 事件 及 时 响应 。 

(7) 系统 漏洞 的 预报 警 功能 。 对 未 发 现 的 系统 漏洞 特征 进行 预报 警 。 

(8) IDS 探测 器 集中 管理 功能 。 通 过 控制 台 收 集 探测 器 的 状态 和 报警 信息 ， 控 制 各 
个 探测 器 的 行为 。 

一 个 高 质量 的 IDS 产品 除了 具备 以 上 入 侵 检测 功能 外 ， 还 必须 具备 较 高 的 可 管理 性 
和 自身 安全 性 等 功能 。 


366 


Á= 第 13 章 入侵 检测 技术 em 


13.1.3 IDS 的 任务 


1. 信息 收集 

IDS 的 第 一 项 任务 是 信息 收集 。IDS 所 收集 的 信息 内 容 包括 用 户 《〈 合 法 用 户 和 非法 
用 户 ) 在 网 络 、 系 统 、 数 据 库 及 应 用 系统 中 活动 的 状态 和 行为 。 为 了 准确 地 收集 用 户 的 
信息 活动 ， 需 要 在 信息 系统 中 的 若干 个 关键 点 〈 包 括 不 同 网 段 、 不 同 主机 、 不 同 数据 库 
服务 器 、 不 同 应 用 服务 器 等 处 ) 设置 信息 探测 点 。 

IDS 可 利用 的 信息 来 源 如 下 

(1) 系统 和 网 络 的 日 志文 件 

日 志文 件 中 包含 发 生 在 系统 和 网 络 上 的 异常 活动 的 证 据 。 通 过 查看 日 志文 件 ， 能 够 
发 现 黑客 的 入 侵 行为 。 

(2) 目录 和 文件 中 的 异常 改变 

信息 系统 中 的 目录 和 文件 中 的 异常 改变 (包括 修改 、 创建 和 删除 ), 特别 是 那些 限制 
访问 的 重要 文件 和 数据 的 改变 ， 很 可 能 就 是 一 种 入 侵 行为 。 黑 客 经 党 替换、 修改 和 破坏 
他 们 获得 访问 权 的 系统 上 的 文件 ， 蔡 换 系 统 程序 或 修改 系统 日 志文 件 ， 达 到 隐藏 他 们 活 
动 痕迹 的 目的 。 

G) 程序 执行 中 的 异常 行为 

信息 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 用 户 启 动 程序 和 特定 目的 的 
应 用 。 每 个 在 系统 上 执行 的 程序 由 一 个 或 多 个 进程 来 实现 。 每 个 进程 执行 在 具有 不 同 权 
限 的 环境 中 ， 这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程 序 和 数据 文件 等 。 一 个 进程 出 
现 了 异常 的 行为 ,表明 黑客 可 能 正在 入 侵 系统 。 

(4) 物理 形式 的 入 侵 信 息 

物理 形式 的 入 侵 包 括 两 个 方面 的 内 容 : 一 是 对 网 络 硬件 的 非 授权 连接 ， 二 是 对 物理 
资源 的 未 授权 访问 。 黑 客 会 想方设法 去 突破 网 络 的 周边 防卫 ， 如 果 他 们 能 够 在 物理 上 访 
问 内 部 网 ， 就 能 安装 他 们 自己 的 设备 和 软件 。 依 此 ， 黑 客 就 可 以 知道 网 上 存在 的 不 安全 
《或 未 授权 使 用 ) 的 设备 ， 然 后 利用 这 些 设 备 访问 网 络 资源 。 


2. 信息 分 析 

对 收集 到 的 上 述 4 类 信息 ， 包 括 网 络 、 系 统 、 数 据 及 用 户 活动 的 状态 和 行为 信息 等 
进行 模式 匹配 、 统 计 分 析 和 完整 性 分 析 ， 得 到 实时 检测 所 必需 的 信息 。 

(1) 模式 匹配 

模式 匹配 技术 ， 即 模式 发 现 技 术 ， 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 模式 的 特 
征 数 据 库 进 行 比较 ， 从 而 发 现 违背 安全 策略 的 行为 。 假 定 所 有 入 侵 行为 和 手段 〈 及 其 变 
种 ) 都 能 够 表达 为 一 种 模式 或 特征 ， 那 么 所 有 已 知 的 入 侵 方法 都 可 以 用 匹配 的 方法 来 发 
现 。 模 式 匹 配 的 关键 是 如 何 表达 入 侵 模式 ， 把 入 侵 行为 与 正常 行为 区 分 开 来 。 模 式 匹 配 
的 优点 是 误 报 率 小 ， 其 局 限 性 是 只 能 发 现 已 知 攻击 ， 却 对 未 知 攻击 无 能 为 力 。 

(2) 统计 分 析 

统计 分 析 是 入 侵 检 测 常 用 的 异常 发 现 方法 。 假 定 所 有 入 侵 行为 都 与 正常 行为 不 同 ， 
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如 果 能 建立 系统 正常 运行 的 行为 轨迹 ， 那 么 就 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 
为 可 疑 的 入 侵 企图 。 统 计 分 析 方法 就 是 先 创 建 系统 对 象 ( 如 用 户 、 文 件 、 目 录 和 设备 等 ) 
的 统计 属性 (如 访问 次 数 、 操 作 失败 次 数 、 访 问 地 点 、 访 问 时 间 、 访 问 延 时 等 )， 再 将 信 
息 系 统 的 实际 行为 与 统计 属性 进行 比较 。 当 观察 值 在 正常 值 范围 之 外 时 ， 则 认为 有 入 侵 
行为 发 生 。 统 计 分 析 模 型 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 时 间 、 资 源 消耗 情 
况 等 。 

常用 的 5 种 入 侵 检 测 统计 模型 如 下 : 

© 操作 模型 。 该 模型 假设 可 将 测量 结果 与 一 些 固定 指标 比较 来 发 现 异常 , 固定 指标 
可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 值 获得 。 例 如 ， 在 短 时 间 内 的 多 次 失败 的 登录 
很 有 可 能 是 口令 猜测 攻击 。 

© 方差 。 该 模型 计算 参数 的 方差 设 定 其 置信 区 间 ， 当 测量 值 超过 置信 区 间 的 范围 
时 ， 表 明 可 能 有 异常 事件 。 

@ 多 元 模型 。 该 模型 是 操作 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 。 

© 马尔 柯 夫 过 程 模型 。 该 模型 将 每 种 类 型 的 事件 定义 为 系统 状态 , 用 状态 转移 矩阵 
来 表示 状态 的 变化 。 当 一 个 事件 发 生 时 ， 若 在 状态 矩阵 中 该 事件 的 转移 概率 较 小 ， 则 可 
能 是 异常 事件 。 

© 时 间 序 列 分 析 。 该 模型 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ， 如 果 一 个 新 事 
件 在 该 时 间 发 生 的 概率 较 低 ， 则 该 事件 可 能 是 入 侵 。 

统计 分 析 方 法 的 最 大 优点 是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 检 出 率 
与 可 用 性 ， 缺 点 是 误 报 率 较 高 ， 且 不 适应 用 户 正 常 行为 的 突然 改变 。 

(3) 完整 性 分 析 

完整 性 分 析 检 测 某 个 文件 或 对 象 是 否 被 更 改 。 完 整 性 分 析 常 利用 杂凑 函数 〈 例 如 
SHA-256)， 它 能 识别 微小 的 变化 。 该 方法 的 优点 是 只 要 某 个 文件 或 对 象 有 任何 改变 ， 都 
能 够 被 发 现 。 缺 点 是 当 完 整 性 分 析 未 开启 时 ， 不 能 主动 发 现 入 侵 行 为 。 


3. 安全 响应 

IDS 在 发 现 入 侵 行为 后 会 及 时 做 出 响应 ， 包 括 终止 网 络 服务 、 记 录 事 件 日 志 、 报 警 
和 阻 断 等 。 响 应 可 分 为 主动 响应 和 被 动 响 应 两 种 类 型 。 主 动 响应 由 用 户 驱 动 或 系统 本 身 
自动 执行 ,可 对 入 侵 行为 采取 终止 网 络 连 接 、 修 正 系统 环境 (如 修改 防火 墙 的 安全 策略 ) 
等 ， 被 动 响应 包括 发 出 告警 信息 和 通知 等 。 

目前 比较 流行 的 响应 方式 有 记录 日 志 、 实 时 显示 、E-mail 报警 、 声 音 报警 、SNMP 
报警 、 实 时 TCP 阻 断 、 防 火 墙 联动 、WinPop 显示 、 手 机 短信 报警 等 。 


13.1.4 IDS 的 评价 标准 


一 个 较为 完整 的 入 侵 检测 系统 的 评价 标准 集合 应 该 包括 3 个 方面 的 内 容 : 性 能 测试 、 
功能 测试 和 用 户 可 用 性 测试 。 性 能 测试 主要 衡量 入 侵 检测 系统 在 高 工作 负荷 条 件 下 的 运 
行情 况 。 例 如 ， 数 据 包 截获 和 过 滤 的 速度 ， 是 否 出 现 丢 包 现 象 ， 以 及 检测 引擎 的 总 体 知 
吐 量 等 。 功 能 测试 衡量 入 侵 检测 系统 自身 功能 特征 ， 如 系统 的 架构 是 否 支持 可 扩展 性 、 
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是 否 支持 规则 定制 功能 、 是 否 能 够 检测 到 集中 所 有 的 攻击 样本 的 测试 样本 、 警 报 系统 的 
功能 是 否 强大 及 是 否 提供 强大 友好 的 报表 功能 等 。 用 户 可 用 性 测试 则 是 衡量 用 户 在 使 用 
某 个 入 侵 检测 系统 时 的 操作 友好 性 ， 如 界面 设计 是 否 合理 、 使 用 是 否 方便 等 。 综合 来 说 ， 
一 个 好 的 IDS 应 该 具有 以 下 基本 特性 : 

(1) 先进 的 检测 能 力 和 响应 能 力 。 

(2) 不 影响 被 保护 网 络 环境 中 主机 和 各 应 用 系统 的 正常 运行 。 

(3) 在 无 人 监督 管理 的 情况 下 ， 能 够 连续 不 断 地 正常 运行 。 

(4) 具有 坚固 的 自身 安全 性 。 

(5) 具有 很 好 的 可 管理 性 。 

(6) 消耗 系统 资源 较 少 。 

(7) 可 扩展 性 好 ， 能 适应 网 络 环境 和 应 用 系统 的 变化 。 

(8) 支持 卫 碎片 重组 。 

(9) 支持 TCP 流 重组 。 

(10) 支持 TCP 状态 检测 。 

(11) 支持 应 用 层 协 议 解码 。 

(12) 灵活 、 可 扩展 、 可 配置 的 用 户 报告 功能 。 

(13) 安装 、 配 置 、 调 整 简单 易 行 。 

(14) 能 与 常用 的 其 他 安全 产品 集成 。 

C15) 支持 常用 的 网 络 协议 和 拓扑 结构 等 。 


32 ”入 侵 检 测 原 理 及 主要 方法 


13.2.1 异常 检测 基本 原理 


异常 检测 技术 又 称 为 基于 行为 的 入 侵 检测 技术 , 用 来 识别 主机 或 网 络 中 的 异常 行为 。 
它 假设 攻击 与 正常 的 (合法 的 ) 活动 有 明显 的 差异 。 异 常 检测 首先 收集 一 段 时 间 操 作 活 
动 的 历史 数据 ， 再 建立 代表 主机 、 用 户 或 网 络 连 接 的 正常 行为 描述 ， 然 后 收集 事件 数据 
并 使 用 一 些 不 同 的 方法 来 决定 所 检测 到 的 事件 活动 是 否 偏离 了 正常 行为 模式 ， 从 而 判断 
是 否 发 生 了 入 侵 。 异 常 检测 模型 的 结构 如 图 13-2 所 示 。 


正常 行为 描述 库 


13-2 异常 检测 模型 的 结构 


基于 异常 检测 原理 的 入 侵 检 测 方 法 有 以 下 几 种 : 
(1) 统计 异常 检测 方法 。 
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(2) 特征 选择 异常 检测 方法 。 

(3) 基于 贝 叶 斯 推理 异常 检测 方法 。 

(4) 基于 贝 叶 斯 网 络 异常 检测 方法 。 

(5) 基于 模式 预测 异常 检测 方法 。 

其 中 ， 比 较 成 熟 的 方法 是 统计 异常 检测 方法 和 特征 选择 异常 检测 方法 。 目 前 ， 已 经 
有 根据 这 两 种 方法 开发 而 成 的 软件 产品 面市 ， 其 他 方法 目前 还 停留 在 理论 研究 阶段 。 


13.22 误 用 检测 基本 原理 


误 用 检测 技术 又 称 基 于 知识 的 检测 技术 。 它 假定 所 有 入 侵 行为 和 手段 (及 其 变形 ) 
都 能 够 表达 为 一 种 模式 或 特征 ， 并 对 已 知 的 入 侵 行为 和 手段 进行 分 析 ， 提 取 检测 特征 ， 
构建 攻击 模式 或 攻击 签名 ， 通 过 系统 当前 状态 与 攻击 模式 或 攻击 签名 的 匹配 判断 入 侵 行 
为 。 误 用 检测 模型 的 结构 如 图 13-3 所 示 。 


异常 行为 描述 库 
动态 产生 新 描述 
网 络 数据 ies ele 
i ‘ x 规则 匹配 
吴 用 检测 。 太一 一 
: CE 


13-3” 误 用 检测 模型 的 结构 


误 用 检测 技术 的 优点 在 于 可 以 准确 地 检测 已 知 的 入 侵 行为 ， 缺 点 是 不 能 检测 未 知 的 
入 侵 行为 。 误 用 检测 的 关键 在 于 如 何 表达 入 侵 行为 ， 即 攻击 模型 的 构建 ， 把 真正 的 入 侵 
与 正常 行为 区 分 开 来 。 基 于 误 用 检测 原理 的 入 侵 检 测 方法 有 以 下 几 种 : 

(1) 基于 条 件 的 概率 误 用 检测 方法 。 

(2) 基于 专家 系统 误 用 检测 方法 。 

(3) 基于 状态 迁移 分 析 误 用 检测 方法 。 

(4) 基于 键盘 监控 误 用 检测 方法 。 

(5) 基于 模型 误 用 检测 方法 。 


13.2.3 各 种 入 侵 检测 技术 


当前 在 网 络 安全 实践 中 存在 多 种 入 侵 检测 技术 ， 下 面 分 别 对 一 些 常见 的 入 侵 检测 技 
术 进行 简要 介绍 。 


1. 基于 概率 统计 的 检测 

基于 概率 统计 的 检测 技术 是 异常 入 侵 检 测 中 最 常用 的 技术 ， 它 对 用 户 历史 行为 建立 
模型 。 根 据 该 模型 ， 当 IDS 发 现 有 可 疑 的 用 户 行为 发 生 时 就 保持 跟踪 ， 并 监视 和 记录 该 
用 户 的 行为 。 这 种 方法 的 优越 性 在 于 它 应 用 了 成 熟 的 概率 统计 理论 ， 缺点 是 由 于 用 户 行 
为 非常 复杂 ， 因 而 要 想 准确 地 匹配 一 个 用 户 的 历史 行为 非常 困难 ， 易 造成 系统 误 报 、 错 
报 和 漏 报 。 定 义 入 侵 阔 值 比较 困难 ， 闭 值 高 则 误 检 率 提高 ， 阔 值 低 则 漏 检 率 提高 。 

SRI (Standford Research Institute) 研制 开发 的 IDES 是 一 个 典型 的 实时 监测 系统 。 
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IDES 能 根据 用 户 以 前 的 历史 行为 生成 每 个 用 户 的 历史 行为 记录 库 , 并 能 自 适应 地 学 习 被 
检测 系统 中 每 个 用 户 的 行为 习惯 。 当 某 个 用 户 改变 其 行为 习惯 时 ， 这 种 异常 就 被 检测 出 
来 。 这 种 系统 具有 固有 的 弱点 ， 例 如 ， 用 户 的 行为 非常 复杂 ， 因 而 要 想 准确 地 匹配 一 个 
用 户 的 历史 行为 和 当前 行为 是 非常 困难 的 。 这 种 方法 的 一 些 假设 是 不 准确 或 不 贴切 的 ， 
容易 造成 系统 误 报 、 错 报 或 漏 报 。 

在 这 种 实现 方法 中 ， 检 测 器 首先 根据 用 户 对 象 的 动作 为 每 一 个 用 户 都 建立 一 个 用 户 
特征 表 ， 通 过 比较 当前 特征 和 已 存储 的 以 前 特征 判断 是 否 有 异常 行为 。 用 户 特征 表 需 要 
根据 审计 记录 情况 不 断 更 新 。 在 SRI 的 IDES 中 给 出 了 一 个 特征 简 表 的 结构 ，{ 变 量 名 ， 
行为 描述 ， 例 外 情况 ， 资 源 使 用 ， 时 间 周 期 ， 变 量 类 型 ， 阔 值 ， 主 体 ， 客 体 ， 特 征 值 }， 
其 中 ,变量 名 、 主 体 、 客 体 唯一 确定 了 特征 简 表 ,特征 值 由 系统 根据 审计 数据 周期 产生 。 
这 个 特征 值 是 所 有 有 悖 于 用 户 特 征 的 异常 程度 值 的 函数 。 

这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 ， 不 足 之 处 在 于 : 

(1) 统计 检测 对 于 事件 发 生 的 次 序 不 敏感 ， 完 全 依靠 统计 理论 ， 可 能 会 漏 掉 那 些 利 
用 彼此 相关 联 事件 的 入 侵 行为 。 

(2) 定义 判断 入 侵 的 阐 值 比较 困难 ， 闵 值 太 高 则 误 检 率 提 高 ， 阔 值 太 低 则 漏 检 率 
提高 。 


2. 基于 神经 网 络 的 检测 

基于 神经 网 络 的 检测 技术 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ， 在 给 定 一 
个 输入 后 ， 就 可 能 预测 出 输出 。 它 是 对 基于 概率 统计 的 检测 技术 的 改进 ， 主 要 克服 了 传 
统统 计 分 析 技 术 的 一 些 问题 。 

基于 神经 网 络 的 模块 ， 将 当前 命令 和 刚 过 去 的 下 个 命令 组 成 了 网 络 的 输入 ， 其 中 ， 
WW 是 神经 网 络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根 据 用 户 代表 性 命令 序列 
训练 网 络 后 ， 该 网 络 就 形成 了 相应 的 用 户 特征 表 。 网 络 对 下 一 事件 的 预测 错误 率 在 一 定 
程度 上 反映 了 用 户 行为 的 异常 程度 。 这 种 方法 的 优点 在 于 能 够 更 好 地 处 理 原始 数据 的 随 
机 特性 ， 即 不 需要 对 这 些 数据 做 任何 统计 假设 并 有 较 好 的 抗 干扰 能 力 ; 缺点 是 网 络 的 拓 
扑 结构 及 各 元 素 的 权 值 很 难 确定 ， 命 令 窗口 的 下 值 也 很 难 选取 。 窗 口 太 大 ， 网 络 效 率 降 
低 ; 窗口 太 小 ， 网 络 输出 不 理想 。 

目前 ， 神 经 网 络 技术 提出 了 对 基于 传统 统计 技术 的 攻击 检测 方法 的 改进 方向 ， 但 尚 
不 十 分 成 熟 ， 所 以 传统 的 统计 方法 仍 继续 发 挥 作用 ， 仍 然 能 为 发 现 用 户 的 异常 行为 提供 
相当 有 参考 价值 的 信息 。 


3. 基于 专家 系统 的 检测 

安全 检测 工作 自动 化 的 另外 一 个 值得 重视 的 研究 方向 就 是 基于 专家 系统 的 攻击 检测 
技术 ， 即 根据 安全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ， 然 后 再 在 此 基础 上 
建立 相应 的 专家 系统 。 专 家 系统 对 所 涉及 的 攻击 操作 自动 进行 分 析 工 作 。 

所 谓 专家 系统 ， 是 基于 一 套 由 专家 经 验 事先 定义 的 规则 的 推理 系统 。 例 如 ， 某 个 用 
户 在 数 分 钟 之 内 连续 进行 登录 , 且 失 败 超过 3 次 , 专家 系统 就 可 以 认为 是 一 种 攻击 行为 。 
类 似 的 规则 在 统计 系统 中 似乎 也 有 ， 但 要 注意 的 是 基于 规则 的 专家 系统 或 推理 系统 也 有 
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其 局 限 性 ， 因 为 作为 这 类 系统 的 基础 推理 规则 一 般 都 是 根据 已 知 的 安全 漏洞 进行 安排 和 
策划 的 ， 而 对 系统 的 最 危险 的 威胁 则 主要 来 自 未 知 的 安全 漏洞 。 实 现 基于 规则 的 专家 系 
统 是 一 个 知识 工程 问题 ， 而 且 其 功能 应 当 能 够 随 着 经 验 的 积累 而 利用 其 自学 能 力 进 行规 
则 的 扩充 和 修正 。 当 然 ， 这 样 的 能 力 需要 在 专家 的 指导 和 参与 下 才能 实现 ， 否 则 可 能 会 
导致 较 多 的 错误 。 一 方面 ， 推 理 机 制 使 得 系统 面 对 一 些 新 的 行为 现象 时 可 能 具备 一 定 的 
应 对 能 力 〈 即 有 可 能 发 现 一 些 新 的 安全 漏洞 ); 另 一 方面 ， 攻 击 行为 也 可 能 不 会 触发 任何 
一 个 规则 ， 从 而 被 检测 到 。 专 家 系统 对 历史 数据 的 依赖 性 总 的 来 说 比 基 于 统计 技术 的 审 
计 系 统 少 ， 因 此 系统 的 适应 性 比较 强 ， 可 以 较 灵 活 地 适应 广泛 的 安全 策略 和 检测 需求 。 
但 迄今 ， 推 理 系统 和 谓词 演算 的 可 计算 问题 还 未 得 到 很 好 的 解决 。 

在 具体 实现 过 程 中 ， 专 家 系统 主要 面临 的 问题 是 : 

(1) 全 面 性 问题 一 一 很 难 从 各 种 入 侵 检测 手段 中 抽象 出 全 面 的 规则 化 知识 。 

(2) 效率 问题 一 一 需要 处 理 的 数据 量 过 大 ， 而 且 在 大 型 系统 上 很 难 获得 实时 、 连 续 
的 审计 数据 。 


4. 基于 模型 推理 的 检测 

攻击 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 程序 ， 如 猜测 口令 的 程序 ， 这 种 行为 
程序 构成 了 某 种 具有 一 定 行为 特征 的 模型 , 根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ， 
可 以 实时 地 检测 出 恶意 的 攻击 企图 。 用 基于 模型 的 推理 方法 ， 人 们 能 够 为 某 些 行为 建立 
特定 的 模型 ， 从 而 能 够 监视 具有 特定 行为 特征 的 某 些 活动 。 根 据 假设 的 攻击 脚本 ， 这 种 
系统 就 能 够 检测 出 非法 的 用 户 行为 。 为 了 准确 判断 ， 一 般 要 为 不 同 的 攻击 者 和 不 同 的 系 
统 建立 特定 的 攻击 脚本 。 

当 有 证 据 表明 某 种 特定 的 攻击 发 生 时 ， 系 统 应 收集 其 他 证 据 来 证 实 或 否定 攻击 的 真 
实 性 ， 既 不 能 漏 报 攻击 对 信息 系统 造成 实际 损害 ， 又 能 尽 可 能 避免 错 报 。 

当然 ， 上 述 几 种 方法 都 不 能 彻底 解决 攻击 检测 问题 ， 最 好 是 综合 地 利用 各 种 手段 强 
化 计算 机 信息 系统 的 安全 程序 ， 以 增加 攻击 成 功 的 难度 ， 同 时 根据 系统 本 身 的 特点 选择 
适合 的 攻击 检测 手段 。 


5. 基于 免疫 的 检测 

基于 免疫 的 检测 技术 是 将 自然 免疫 系统 的 某 些 特征 运用 到 网 络 系统 中 ， 使 整个 系统 
具有 适应 性 、 自 我 调节 性 、 可 扩展 性 。 人 的 免疫 系统 成 功 地 保护 人 体 不 受 各 种 抗原 和 组 
织 的 侵害 ， 这 个 重要 特性 吸引 了 许多 计算 机 安全 专家 和 人 工 智 能 专家 。 通 过 学 习 免 疫 专 
家 的 研究 成 果 ， 计 算 机 专家 提出 了 计算 机 免疫 系统 。 在 许多 传统 的 网 络 安全 系统 中 ， 每 
个 目标 都 将 它 的 系统 日 志和 收集 到 的 信息 传送 给 相应 的 服务 器 ， 由 服务 器 分 析 整 个 日 志 
和 信息 ， 判 断 是 否 发 生 恶 意 入 侵 。 基 于 免疫 的 入 侵 检 测 系统 运用 计算 免疫 的 多 层 性 、 分 
布 性 、 多 样 性 等 特性 设置 动态 代理 ， 实 施 分 层 检 测 和 响应 机 制 。 


6. 入 侵 检测 的 新 技术 
数据 挖掘 技术 被 Wenke.lee 用 在 了 入 侵 检测 中 。 用 数据 挖掘 程序 处 理 搜集 到 的 审计 
数据 ， 为 各 种 入 侵 行 为 和 正常 操作 建立 精确 的 行为 模式 ， 这 个 过 程 是 一 个 自动 过 程 ， 不 
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需要 人 工分 析 和 编码 入 侵 模式 。 移 动 代理 用 于 入 侵 检测 中 ， 具 有 应 对 主机 间 动 态 迁 移 、 
一 定 的 智能 性 、 与 平台 无 关 性 、 分 布 的 灵活 性 、 低 网 络 数据 流量 和 多 代理 合作 特性 。 移 
动 代理 技术 适用 于 大 规模 信息 搜集 和 动态 处 理 ， 在 入 侵 检测 系统 中 采用 该 技术 ， 可 以 提 
高 入 侵 检测 系统 的 性 能 。 


7. 其 他 相关 问题 

为 了 防止 过 多 的 不 相干 信息 的 干扰 , 用 于 安全 目的 的 攻击 检测 系统 在 审计 系统 之 外 ， 
还 要 配备 适合 系统 安全 策略 的 信息 采集 器 或 过 滤器 。 同 时 ， 除 了 依靠 来 自 审计 子 系统 的 
信息 ， 还 应 当 充分 利用 来 自 其 他 信息 源 的 信息 。 在 某 些 系统 内 可 以 在 不 同 层次 进行 审计 
跟踪 。 例 如 ， 有 些 系统 的 安全 机 制 采用 3 级 审计 跟踪 ,包括 审计 操作 系统 核心 调用 行为 、 
审计 用 户 和 操作 系统 界面 级 行为 和 审计 应 用 程序 内 部 行为 。 

另 一 个 重要 问题 是 决定 入 侵 检 测 系统 的 运行 位 置 。 为 了 提高 入 侵 检测 系统 的 运行 效 
率 ， 可 以 安排 在 与 被 监视 系统 独立 的 计算 机 上 执行 审计 跟踪 分 析 和 攻击 性 检测 。 因 为 监 
视 系统 的 响应 时 间 对 被 监视 系统 的 运行 完全 没有 负面 影响 ， 也 不 会 因为 其 他 安全 有 关 的 
因素 而 受到 影响 ， 这 样 做 既 提 高 了 效率 ， 又 保证 了 安全 性 。 

总 之 ， 为 了 有 效 地 利用 审计 系统 提供 的 信息 ， 通 过 攻击 检测 措施 防范 攻击 威胁 ， 计 
算 机 安全 系统 应 当 根 据 系统 的 具体 条 件 选择 适用 的 主要 攻击 检测 方法 ， 并 且 有 机 地 融合 
其 他 可 选用 的 攻击 检测 方法 。 同 时 ， 我 们 应 当 清醒 地 认识 到 ， 任 何 一 种 攻击 检测 措施 都 
不 能 一 劳 永 逸 ， 必 须 配备 有 效 的 管理 和 组 织 措施 。 

人 们 对 于 安全 技术 的 要 求 将 越 来 越 高 。 这 种 需求 也 刺激 着 攻击 检测 技术 和 其 理论 研 
究 向 前 发 展 ， 同 时 也 必 将 促进 实际 安全 产品 的 进一步 发 展 。 
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通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 析 ， 入 侵 检测 系 
统 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行 入 侵 检测 的 
软件 与 硬件 的 组 合 构成 入 侵 检 测 系统 。 

入 侵 检测 系统 执行 的 主要 任务 包括 监视 、 分 析 用 户 及 系统 活动 ; 审计 系统 构造 和 弱 
点 ; 识别 、 反 映 已 知 进攻 的 活动 模式 ， 向 相关 人 员 报 警 ， 统计 分 析 蜡 常 行为 模式 ;评估 
重要 系统 和 数据 文件 的 完整 性 ， 审 计 、 跟 踪 管 理 操作 系统 ， 识 别 用 户 违反 安全 策略 的 行 
为 。 

入 侵 检 测 一 般 分 为 3 个 步骤 : 信息 收集 、 数 据 分 析 和 响应 被 动 响 应 和 主动 响应 )。 
(1) 信息 收集 
信息 收集 的 内 容 包括 系统 、 网 络 、 数 据 用 户 活动 的 状态 和 行为 。 入 侵 检测 利用 的 信 

息 一 般 来 自 系统 日 志 、 目 录 及 文件 中 的 异常 改变 、 程 序 执行 中 的 异常 行为 及 物理 形式 的 
入 侵 信息 4 个 方面 。 

(2) 数据 分 析 

数据 分 析 是 入 侵 检测 的 核心 。 它 首先 构建 分 析 器 ， 把 收集 到 的 信息 经 过 预 处 理 ， 建 
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立 一 个 行为 分 析 引 擎 或 模型 ， 然 后 向 模型 中 植 入 时 间 数 据 ， 在 知识 库 中 保存 植 入 数据 的 
模型 。 数 据 分 析 一 般 通过 模式 匹配 、 统 计 分 析 和 完整 性 分 析 3 种 方法 进行 。 前 两 种 方法 
用 于 实时 入 侵 检测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 数 据 分 析 采 用 5 种 统计 模型 操作 
模型 方差、 多 元 模型 、 马 尔 可 夫 过 程 模型 和 时 间 序 列 分 析 。 统 计 分 析 的 最 大 优点 是 可 
以 学 习 用 户 的 使 用 习惯 。 

(3) 响应 

入 侵 检测 系统 在 发 现 入 侵 后 会 及 时 做 出 响应 ， 包 括 切 断 网 络 连接 、 记 录 时 间 和 报警 
等 。 响 应 一 般 分 为 主动 响应 (阻止 攻击 或 影响 ， 从 而 改变 攻击 的 过 程 》 和 被 动 响应 ( 报 
告 和 记录 所 检测 出 的 问题 两 种 类 型 。 主 动 响应 由 用 户 驱 动 或 系统 本 身 自动 执行 ， 可 对 
入 侵 者 采取 行动 (如 断 开 连 接 )、 修 正 系 统 环境 或 收集 有 用 信息 ; 被 动 响应 则 包括 告警 和 
通知 、 简 单 网 络 管理 协议 SNMP) 陷阱 和 插件 等 。 另 外 ， 还 可 以 按 策略 配置 响应 ， 分 
别 采 取 立 即 、 紧 急 、 适 时 、 本 地 的 长 期 和 全 局 的 长 期 等 行动 。 


13.3.1 IDS 的 结构 


通用 入 侵 检测 架构 (Common Intrusion Detection Framework, CIDF) 阐述 了 入 侵 检 
测 系统 的 通用 模型 。 它 将 一 个 入 侵 检测 系统 分 为 以 下 组 件 : 

(1) 事件 产生 器 (Event Generators). 

(2) 事件 分 析 器 (Event Analyzers). 

(3) 响应 单元 (Response Units). 

(4) 事件 数据 库 (Event Databases). 

CIDF 将 入 侵 检测 系统 需要 分 析 的 数据 统称 为 事件 (Event), 它 可 以 是 基于 网 络 的 入 
侵 检测 系统 中 的 网 络 数据 包 ， 也 可 以 是 基于 主机 的 入 侵 检 测 系统 从 系统 日 志 等 其 他 途径 
得 到 的 信息 。 它 也 对 各 部 件 之 间 的 信息 传递 格式 、 通 信 方 法 和 标准 API 进行 了 标准 化 。 

事件 产生 器 从 整个 计算 环境 中 获得 事件 ， 并 提供 给 系统 的 其 他 部 分 。 事 件 分 析 器 对 
得 到 的 数据 进行 分 析 , 并 产生 分 析 结 果 。 响应 单元 则 是 对 分 析 结果 做 出 反应 的 功能 单元 ， 
它 可 以 做 出 切断 连接 、 改 变 文件 属性 等 强烈 反应 ， 甚 至 发 动 对 攻击 者 的 反击 ， 或 者 报警 。 
事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数 据 的 地 方 的 统称 ， 它 可 以 是 复杂 的 数据 库 ， 也 
可 以 是 简单 的 文本 文件 。 

一 个 入 侵 检测 系统 的 功能 结构 如 图 13-4 所 示 ， 它 至 少 包 含 事 件 提 取 、 入 侵 分 析 、 入 
侵 响 应 和 远程 管理 4 部 分 功能 。 
在 图 13-4 中 ， 各 部 分 功能 如 下 : 


入 侵 响应 H| 远程 管理 | (1) 事件 提取 功能 负责 提取 与 被 保护 系统 相关 的 
th we 运行 数据 或 记录 ， 并 负责 对 数据 进行 简单 的 过 滤 。 
i | (2) 入 侵 分 析 的 任务 就 是 在 提取 到 的 运行 数据 中 找 
事件 提取 出 入 侵 的 痕迹 , 区 分 授权 的 正常 访问 行为 和 非 授权 的 不 
i 正常 访问 行为 ， 分 析 入 侵 行为 并 对 入 侵 者 进行 定位 。 
数据 源 G) 入 侵 响应 功能 在 分 析出 入 侵 行为 后 被 触发 ， 
图 13-4 入 侵 检 测 系统 的 功能 构成 ”根据 入 侵 行为 产生 响应 。 
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(4) 由 于 单个 入 侵 检测 系统 的 检测 能 力 和 检测 范围 有 限 ， 入 侵 检测 系统 一 般 采 用 分 
布 监视 、 集 中 管理 的 结构 ， 多 个 检测 单元 运行 于 网 络 中 的 各 个 网 段 或 系统 上 ， 通 过 远程 
管理 功能 在 一 台 管 理 站 上 实现 统一 的 管理 和 监控 。 


13.3.2 IDS 的 分 类 


根据 数据 来 源 的 不 同 ，IDS 可 以 分 为 以 下 3 种 基本 结构 。 

a) 基于 网 络 的 入 侵 检 测 系统 (Network Intrusion Detection System, NIDS). AK 
源 于 网 络 上 的 数据 流 。 

NIDS 能 够 截获 网 络 中 的 数据 包 ， 提 取 其 特征 并 与 知识 库 中 已 知 的 攻击 签名 相 比较 ， 
从 而 达到 检测 目的 。 其 优点 是 侦 测速 度 快 、 隐 蔽 性 好 、 不 易 受 到 攻击 、 对 主机 资源 消耗 
少 ; 缺点 是 有 些 攻击 是 由 服务 器 的 键盘 发 出 的 ， 不 经 过 网 络 ， 因 而 无 法 识别 ， 误 报 率 
较 高 。 

(2) 基于 主机 的 入 侵 检测 系统 (Host Intrusion Detection System，HIDS)。 数 据 来 源 
于 主机 系统 ， 通 常 是 系统 日 志和 审计 记录 。 

HIDS 通过 对 系统 日 志和 审计 记录 的 不 断 监 控 和 分 析 来 发 现 攻击 后 的 误 操 作 。 优 点 
是 针对 不 同 操作 系统 捕获 应 用 层 入 侵 ， 误 报 少 ; 缺点 是 依赖 于 主机 及 其 子 系统 ， 实 时 
性 差 。 

HIDS 通常 安装 在 被 保护 的 主机 上 ， 主 要 对 该 主机 的 网 络 实时 连接 及 系统 审计 日 志 
进行 分 析 和 检查 ， 在 发 现 可 疑 行为 和 安全 违规 事件 时 ， 向 管理 员 报 警 ， 以 便 采取 措施 。 

G) 采用 上 述 两 种 数据 来 源 的 分 布 式 入 侵 检 测 系统 (Distributed Intrusion Detection 
System, DIDS). 

这 种 系统 能 够 同时 分 析 来 自主 机 系统 审计 日 志和 网 络 数据 流 ， 一 般 为 分 布 式 结构 ， 
由 多 个 部 件 组 成 。DIDS 可 以 从 多 个 主机 获取 数据 ， 也 可 以 从 网 络 传输 取得 数据 ， 克 服 
了 单一 的 HIDS、NIDS 的 不 足 。 

典型 的 DIDS 采用 控制 台 / 探 测 器 结构 .NIDS 和 HIDS 作为 探测 器 放置 在 网 络 的 关键 
节点 ， 并 向 中 央 控 制 台 汇报 情况 。 攻 击 日 志 定时 传送 到 控制 台 ， 并 保存 到 中 央 数 据 库 中 ， 
新 的 攻击 特征 能 及 时 发 送 到 各 个 探测 器 上 。 每 个 探测 器 能 够 根据 所 在 网 络 的 实际 需要 配 
置 不 同 的 规则 集 。 


2. 按照 入 侵 检 测 策略 分 类 

根据 入 侵 检测 的 策略 ，IDS 也 可 以 分 成 3 种 类 型 : 滥用 检测 、 异 常 检测 、 完 整 性 
分 析 。 

(1) 滥用 检测 

滥用 检测 (Misuse Detection) 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模 
式 数据 库 进 行 比 较 ， 从 而 发 现 违背 安全 策略 的 问题 。 该 方法 的 优点 是 只 需 收 集 相 关 的 数 
据 集合 ， 可 显著 减少 系统 负担 ， 且 技术 已 相当 成 熟 。 该 方法 存在 的 弱点 是 需要 不 断 地 升 
级 以 对 付 不 断 出 现 的 黑客 攻击 手段 ， 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 
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(2) 异常 检测 

异常 检测 (Abnormal Detection) 首先 给 系统 对 象 〈 如 用 户 、 文 件 、 目 录 和 设备 等 ) 
创建 一 个 统计 描述 、 统 计 正常 使 用 时 的 一 些 测量 属性 〈 如 访问 次 数 、 操 作 失 败 次 数 和 延 
时 等 )。 测 量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 如 果 观 察 值 在 正常 范 
围 之 外 ， 就 认为 有 入 侵 发 生 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 加 复杂 的 入 侵 。 缺 点 是 
误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 

(3) 完整 性 分 析 

完整 性 分 析 (Integrality Analysis) 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 通常 包 
括 文件 和 目录 的 内 容 及 属性 ， 它 在 发 现 更 改 或 特洛伊 木马 应 用 程序 方面 特别 有 效 。 其 优 
点 是 只 要 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 发 现 ; 缺点 是 一 般 以 批 
处 理 方式 实现 ， 不 易于 实时 响应 。 

在 下 面 的 讨论 中 ， 将 按照 第 一 种 分 类 方法 分 别 讨论 NIDS、HIDS 和 DIDS。 


134 _ NIDS 


随 着 计算 机 网 络 技术 的 发 展 ， 单 独 依靠 主机 审计 入 侵 检测 难以 适应 网 络 安全 需要 。 
在 这 种 情况 下 ， 人 们 提出 了 基于 网 络 的 入 侵 检测 系统 体系 结构 ， 这 种 检测 系统 根据 网 络 
流量 、 网 络 数据 包 和 协议 来 分 析 入 侵 检测 。 

基于 网 络 的 入 侵 检 测 系统 使 用 原始 网 络 包 作为 数据 包 。 基 于 网 络 的 IDS 通常 利用 一 
个 运行 在 随机 模式 下 的 网 络 适 配器 来 实现 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻 
击 辨别 模块 通常 采用 4 种 常用 技术 来 识别 攻击 技术 : 

C1) 模式 、 表 达 式 或 字 节 匹 配 。 

(2) 频率 或 穿越 阔 值 。 

G) 低级 事件 的 相关 性 。 

(4) 统计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 攻击 行为 ，IDS 的 响应 模块 将 提供 多 种 选项 ， 以 通知 、 报 警 并 对 攻击 采 
取 相 应 的 反应 。 

基于 网 络 的 入 侵 检测 系统 主要 有 以 下 优点 : 

(1) 拥有 成 本 低 。 基 于 网 络 的 IDS 可 以 部 署 在 一 个 或 多 个 关键 访问 点 来 检测 所 有 经 
过 的 网 络 通信 。 因 此 ， 基 于 网 络 的 IDS 系统 并 不 需要 安装 在 各 种 各 样 的 主机 上 ， 从 而 大 
大 减 小 了 管理 的 复杂 性 。 

(2) 攻击 者 转移 证 据 困难 。 基于 网 络 的 IDS 使 用 活动 的 网 络 通信 进行 实时 攻击 检测 ， 
因此 攻击 者 无 法 转移 证 据 ， 被 检测 系统 捕获 的 数据 不 仅 包 括 攻 击 方法 ， 而 且 包 括 对 识别 
和 指控 入 侵 者 十 分 有 用 的 信息 。 

G) 实时 检测 和 响应 。 一 旦 发 生 恶 意 访 问 或 攻击 ， 基 于 网 络 的 IDS 检测 即 可 随时 发 
现 ， 并 能 够 很 快 地 做 出 反应 。 如 果 黑 客 使 用 TCP 启动 基于 网 络 的 拒绝 服务 (DoS), IDS 
可 以 通过 发 送 一 个 TCP reset 来 立即 终止 这 个 攻击 , 这 样 就 可 以 避免 目标 主机 遭受 破坏 或 


376 


een 第 13 章 入 侵 检测 技术 em 


月 溃 。 这 种 实时 性 使 系统 可 以 根据 预先 定义 的 参数 迅速 采取 相应 的 行动 ， 从 而 将 入 侵 活 
动 对 系统 的 破坏 降 到 最 低 。 

(4) 能 够 检测 未 成 功 的 攻击 企图 。 一 个 置 于 防火 墙 外 部 的 NIDS 可 以 检测 到 和 旨 在 利 
用 防火 墙 后 的 资源 的 攻击 ， 尽 管 防火 墙 本 身 可 能 会 拒绝 这 些 攻击 企图 。 基 于 主机 的 系统 
不 能 发 现 未 能 到 达 受 防火 墙 保护 的 主机 的 攻击 企图 ， 而 这 些 信息 对 于 评估 和 改进 安全 策 
略 是 十 分 重要 的 。 

(5) 操作 系统 独立 。 基 于 网 络 的 IDS 并 不 依赖 于 将 主机 的 操作 系统 作为 检测 资源 ， 
而 基于 主机 的 系统 需要 特定 的 操作 系统 才能 发 挥 作 用 。 

基于 网 络 的 入 侵 检测 系统 (NIDS) 一 般 安 装 在 需要 保护 的 网 段 中 ， 实 时 监视 网 段 中 
传输 的 各 种 数据 包 ， 并 对 这 些 数 据 包 进行 分 析 和 检测 。 如 果 发 现 入 侵 行为 或 可 疑 事件 ， 
入 侵 检测 系统 就 会 发 出 警报 甚至 切断 网 络 连接 。 基 于 网 络 的 入 侵 检测 系统 如 同 网 络 中 的 
摄像 机 ， 只 要 在 一 个 网 络 中 安放 一 台 或 多 台 入 侵 检测 探测 器 ， 就 可 以 监视 整个 网 络 的 运 
行情 况 ， 在 黑客 攻击 造成 破坏 之 前 ， 预 先 发 出 警报 ， 并 通过 TCP 阻 断 或 防火 墙 联 动 等 方 
式 ， 以 最 快 的 速度 阻止 入 侵 事 件 的 发 生 。 基 于 网 络 的 入 侵 检 测 系统 自 成 体系 ， 它 的 运行 
不 会 给 原 系 统 和 网 络 增加 负担 。 


13.4.1 NIDS 设计 


基于 网 络 的 入 侵 检测 产品 放置 在 比较 重要 的 网 段 内 ， 可 连续 监视 网 段 中 的 各 种 数据 
包 ， 对 每 个 数据 包 或 可 疑 的 数据 包 进 行 特 征 分 析 。 如 果 数 据 包 与 产品 内 置 的 某 些 规则 吻 
合 ， 入 侵 检 测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连 接 。 目 前 ， 大 部 分 入 侵 检 测 产 品 都 
基于 网 络 。NIDS 整体 框架 流程 图 如 图 13-5 所 示 。 


[adem Efe 控制 台 事 件 分 析 
| (occa i= H 事件 缓冲 和 发 送 
| 内 容 分 析 模块 =| ee 
| TCP 会 话 重组 模块 会 队列 be oa j 
| [T rarm Haana 
[| srne | | BURNER 
Teed Tue me 


图 13-5 NIDS 整体 框架 流程 图 


在 网 络 入 侵 检测 系统 中 ， 有 多 个 久负盛名 的 开放 源码 软件 ， 它 们 是 Snort, NFR, 
Shadow. Bro, Firestorm 等 ， 其 中 ，Snort 的 社区 Chttp://www.snort.org) 非常 活跃 ， 其 
入 侵 特征 更 新 速度 与 研发 的 进展 已 超过 了 大 部 分 商品 化 产品 。 可 以 通过 分 析 Snort 代码 
和 结构 来 学 习 NIDS 的 设计 。 
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13.4.2 NIDS 关键 技术 


1. IP 碎片 重组 技术 

为 了 躲避 入 侵 检测 系统 ,攻击 者 往往 会 使 用 Fragroute 碎片 数据 包 转 发 工具 ， 将 攻 寺 
请 求 分 成 若干 个 他 碎片 包 发 送 到 目标 主机 ; 目标 主机 接收 到 碎片 包 以 后 ， 则 进行 碎片 有 
组 还 原 出 真正 的 请 求 。 碎 片 攻 击 包括 碎片 覆盖 、 碎 片 重 写 、 碎 片 超时 和 针对 网 络 拓扑 的 
碎片 技术 (如 使 用 小 的 TTL) 等 。IDS 需要 在 内 存 中 缓存 所 有 的 碎片 ， 模 拟 目标 主机 对 
网 络 上 传输 的 碎片 包 进 行 重 组 ， 还 原 出 真正 的 请 求 内 容 ， 然 后 再 进行 入 侵 检 测 分 析 。 


2. TCP 流 重组 技术 

对 于 入 侵 检测 系统 ， 最 艰巨 的 任务 是 重组 通过 TCP 连接 交换 的 数据 。TCP 提供 了 足 
够 多 的 信息 帮助 目标 系统 判断 数据 的 有 效 性 和 数据 在 连接 中 的 位 置 。TCP 的 重 传 机 制 可 
以 确保 数据 准确 到 达 ， 如 果 在 一 定 的 时 间 之 内 没有 收 到 接收 方 的 响应 信息 ， 发 送 方 会 自 
动 重 传 数据 。 但 是 ， 由 于 监视 TCP 会 话 的 入 侵 检测 系统 是 被 动 的 监视 系统 ， 因 此 无 法 使 
用 TCP 重 传 机 制 。 如 果 在 数据 传输 过 程 中 发 生 顺序 被 打 乱 或 报 文 丢 失 的 情况 ， 将 加 大 其 
检测 难度 。 更 严重 的 是 ， 重 组 TCP 数据 流 需要 进行 序列 号 跟踪 ,但 是 如 果 在 传输 过 程 中 
丢失 了 很 多 报 文 ， 就 可 能 使 入 侵 检测 系统 无 法 进行 序列 号 跟踪 。 如 果 没 有 恢复 机 制 ， 就 
可 能 使 入 侵 检测 系统 不 能 同步 监视 TCP 连接 。 不过， 即使 入 侵 检 测 系 统 能 够 恢复 序列 号 
跟踪 ， 也 同样 能 够 被 攻击 。 


3. TCP 状态 检测 技术 

目前 ， 攻 击 NIDS 最 有 效 的 办 法 是 利用 Coretez Giovanni 写 的 Stick FEAF. Stick 使 用 
了 很 巧妙 的 办 法 ,可 以 在 2s 内 模拟 450 次 没有 经 过 3 步 握手 的 攻击 ， 快 速 告警 信息 的 产 
生 会 让 IDS 难以 做 出 反应 ， 产 生 无 反应 甚至 死机 现象 。 由 于 未 采用 TCP 状态 检测 技术 ， 
所 以 当 Stick 发 出 多 个 有 攻击 特征 〈 按 照 Snort 的 规则 组 包 ) 的 数据 包 时 ，IDS 匹配 了 这 
些 数 据 包 的 信息 ， 就 会 频繁 发 出 警告 ， 造 成 管理 者 无 法 分 辩 哪 些 警告 是 针对 真正 的 攻击 
发 出 的 ， 从 而 使 IDS 失去 作用 。 通 过 对 TCP 状态 的 检测 ， 能 够 完全 避免 因 单 包 匹 配 造 成 
的 误 报 。 


4. 协议 分 析 技术 

协议 分 析 是 在 传统 模式 匹配 技术 基础 之 上 发 展 起 来 的 一 种 新 的 入 侵 检测 技术 。 协 议 
分 析 的 原理 就 是 根据 现 有 协议 模式 ， 到 固定 位 置 取 值 ， 而 不 是 逐个 进行 比较 ， 然 后 根据 
取得 的 值 来 判断 其 协议 及 实施 下 一 步 分析 动 作 。 它 充分 利用 了 网 络 协议 的 高 度 有 序 性 ， 
并 结合 了 高 速 数 据 包 捕捉 、 协 议 分 析 和 命令 解析 ， 来 快速 检测 是 否 存在 某 个 攻击 特征 ， 
这 种 技术 正 逐 渐进 入 成 熟 应 用 阶段 。 协 议 分 析 大 大 减 小 了 计算 量 ， 即 使 在 高 负载 的 高 速 
网 络 上 ， 也 能 逐个 分 析 所 有 的 数据 包 。 

采用 协议 分 析 技 术 的 IDS 能 够 理解 不 同 协议 的 原理 ， 由 此 分 析 这 些 协议 的 流量 ， 寻 
找 可 疑 的 或 不 正常 的 行为 。 对 每 一 种 协议 的 分 析 不 仅 基于 协议 标准 ， 还 基于 协议 的 具体 
实现 ， 因 为 很 多 协议 的 实现 偏离 了 协议 标准 。 协 议 分 析 技 术 观察 并 验证 所 有 的 流量 ， 当 
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流量 不 是 期 望 值 时 ，IDS 就 发 出 告警 。 协 议 分 析 具 有 寻找 任何 偏离 标准 或 期 望 值 的 行为 
的 能 力 ， 因 此 能 够 检测 到 已 知 和 未 知 攻击 。 

状态 协议 分 析 就 是 在 常规 协议 分 析 技 术 的 基础 上 加 入 状态 特性 分 析 ， 即 不 仅 检 测 单 
一 的 连接 请 求 或 响应 ， 而 是 将 一 个 会 话 的 所 有 流量 作为 一 个 整体 来 考虑 。 仅 靠 检 测 单一 
的 连接 请 求 或 响应 , 有 些 网 络 攻 击 行为 是 检测 不 到 的 , 因为 攻击 行为 包含 在 多 个 请 求 中 ， 
此 时 状态 协议 分 析 技 术 就 显得 十 分 必要 。 与 模式 匹配 技术 相 比 ， 协 议 分 析 和 状态 协议 分 
析 技 术 具 有 如 下 的 优点 。 

O) 性 能 提高 。 与 模式 匹配 系统 中 传统 的 穷 举 分 析 方 法 相 比 ， 协 议 分 析 利 用 已 知 结 
构 的 通信 协议 在 处 理 数据 帧 和 连接 时 更 迅速 、 有 效 。 

(2) 准确 性 提高 。 与 非 智 能 化 的 模式 匹配 相 比 ， 协 议 分 析 减 少 了 误 警 和 漏 警 。 将 命 
令 解 析 和 协议 解码 技术 相 结合 ， 在 命令 字符 串 到 达 操作 系统 或 应 用 程序 之 前 ， 模 拟 命令 
字符 串 的 执行 ， 以 确定 它 是 否 具 有 恶意 。 

(3) 基于 状态 的 分 析 。 协 议 分 析 入 侵 检测 系统 引擎 在 评估 某 个 数据 包 时 ， 不 仅 要 检 
查 之 前 的 相关 数据 包 ， 而 且 还 要 检查 之 后 可 能 出 现 的 数据 包 。 与 此 相反 ， 模 式 匹 配 入 侵 
检测 系统 只 孤立 地 检查 当前 的 数据 包 。 

(4) 反 规 避 能 力 大 大 增强 。 因 为 协议 分 析 具 有 判别 通信 行为 真实 意图 的 能 力 ， 因 此 
能 够 有 效 抵御 利用 路 径 模糊 、 十 六 进 制 编 码 和 Unicode 编码 等 进行 隐藏 攻击 的 行为 。 

(5) 系统 资源 开销 小 。 协 议 分 析 的 高 效 性 降低 了 系统 资源 在 网 络 和 主机 探测 中 的 消 
耗 ， 而 模式 匹配 技术 却 能 大 量 消耗 系统 资源 。 


5. SRA 

零 复 制 的 基本 思想 是 在 数据 包 从 网 络 设备 到 用 户 程序 空间 传递 的 过 程 中 ， 减 少数 据 
复制 次 数 ， 减 少 系统 调用 ， 实 现 CPU 的 零 参与 ， 彻 底 消 除 CPU 在 这 方面 的 负载 。 实 现 
零 复 制 用 到 的 主要 技术 是 DMA 数据 传输 技术 和 内 存 区 域 映射 技术 。 传 统 的 网 络 数据 报 
处 理 需要 经 过 网 络 设备 到 操作 系统 内 存 空间 、 系 统 内 存 空 间 到 用 户 应 用 程序 空间 这 两 次 
复制 ， 同 时 还 需要 经 历 用 户 向 系统 发 出 的 系统 调用 。 而 零 复制 技术 则 首先 利用 DMA 技 
术 将 网 络 数据 报 直接 传递 到 系统 内 核 预先 分 配 的 地 址 空间 中 ， 避 免 CPU 的 参与 ; 同时 ， 
将 系统 内 核 中 存储 数据 报 的 内 存 区 域 映射 到 检测 程序 的 应 用 程序 空间 (还 有 一 种 方式 是 
在 用 户 空 间 建立 一 缓存 ， 并 将 其 映射 到 内 核 空间 ， 类 似 于 Linux 系统 下 的 Kiobuf 技术 )， 
检测 程序 直接 对 这 块 内 存 进 行 访问 ， 从 而 减少 系统 内 核 向 用 户 空间 的 内 存 复 制 ， 同 时 减 
少 系 统 调用 的 开销 ， 实 现 “ 零 复 制 ”。 

零 复制 数据 流程 如 图 13-6 所 示 ， 图 中 左 侧 是 传统 的 处 理 网 络 数据 包 的 方式 。 由 于 网 
卡 驱 动 程 序 运行 在 内 核 空间 ， 当 网 卡 收 到 数据 包 后 ， 数 据 包 会 存放 在 内 核 空间 内 。 由 于 
上 层 应 用 运行 在 用 户 空间 ， 无 法 直接 访问 内 核 空间 ， 因 此 要 通过 系统 调用 将 网 卡 中 的 数 
据 包 复制 到 上 层 应 用 系统 中 ， 从 而 占用 系统 资源 ， 造 成 IDS 性 能 下 降 。 图 13-6 右 侧 是 改 
进 后 的 网 络 数据 包 处 理 方式 。 通 过 重 写 网 卡 驱动 ， 使 网 卡 驱动 与 上 层 系 统 共享 一 块 内 存 
区 域 ， 网 卡 从 网 络 上 捕获 到 的 数据 包 直 接 传递 给 入 侵 检测 系统 。 上 述 过 程 避 免 了 数据 的 
内 存 复 制 ， 不 需要 占用 CPU 资源 ， 最 大 程度 地 将 有 限 的 CPU 资源 让 给 协议 分 析 和 模式 
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匹配 等 进程 ， 提 高 了 整体 性 能 。Luca Deri 提出 一 种 改进 数据 包 捕 获 效率 的 新 方法 ， 详 细 
内 容 见 相关 参考 文献 。 但 是 零 复 制 只 能 解决 “ 抓 包 ”的 瓶颈 问题 ， 实 现 高 性 能 的 IDS 仍 
要 依靠 协议 分 析 和 匹配 检测 等 其 他 功能 模块 性 能 的 进一步 加 强 。 

传统 的 方法 数据 改进 后 的 方法 


用 户 空 间 


内 核 空 间 


IO 子 系统 


vos 7 
图 13-6 零 复 制 数 据 流程 图 


6. BERA 

从 传统 意义 上 讲 ， 信 息 安 全 意味 着 单纯 的 防御 。 防 火 墙 、 入 侵 检 测 系统 、 加 密 等 安 
全 机 制 只 是 用 来 防御 ， 以 保护 用 户 的 资源 免 受 黑客 的 损害 。 从 战术 上 来 讲 ， 应 尽 可 能 好 
地 保护 网 络 ， 减 少 安全 漏洞 ， 并 对 出 现 的 安全 性 泄漏 及 时 响应 。 这 种 技术 的 问题 在 于 它 
的 单纯 防御 特性 ， 主 动 权 掌握 在 攻击 者 的 手中 。 而 蜜 镀 技 术 的 出 现 将 改变 这 一 切 。 现 代 
的 IDS RAAT SHE (Honeypot) 技术 的 新 思想 。 蜜 铅 是 一 个 吸引 潜在 攻击 者 的 陷阱 ， 它 
的 作用 是 : 

e 把 潜在 入 侵 者 的 注意 力 从 关键 系统 移 开 。 

o 收集 入 侵 者 的 动作 信息 。 

o 设法 让 攻击 者 停留 一 段 时 间 ， 使 管理 员 能 检测 到 它 并 采取 相应 的 措施 。 

蜜 饶 技 术 的 主要 目的 是 收集 和 分 析 现 有 威胁 的 信息 。 将 这 种 技术 集成 到 IDS H, R 
们 就 可 以 发 现 新 的 黑客 工具 、 确 定 攻击 的 模式 、 研 究 攻击 者 的 动机 。 

(1) HERRERIA 

蜜 缸 可 被 视 为 情报 收集 系统 。 蜜 饶 是 故意 引诱 攻击 的 目标 ， 引 诱 黑客 前 来 攻击 。 当 
攻击 者 入 侵 后 ， 就 可 以 知道 攻击 者 是 如 何 得 逮 的 ， 并 随时 了 解 攻 击 者 针对 公司 服务 器 发 
动 的 最 新 攻击 及 系统 的 漏洞 ， 还 可 以 通过 窃听 黑客 之 间 的 联系 ， 收 集 黑客 所 用 的 各 种 工 
具 并 掌握 黑客 之 间 的 社交 网 络 。 

设置 蜜 钠 并 不 难 ， 只 要 在 外 部 Intemet 上 的 一 台 计 算 机 上 运行 有 明显 安全 漏洞 的 操 
作 系 统 即 可 ， 如 运行 一 台 没 有 打 补 丁 的 微软 Windows 或 Red Hat Linux 服务 器 。 因 为 黑 
客 可 能 会 设 陷阱 ， 以 获取 计算 机 的 日 志和 审查 功能 ， 所 以 要 在 计算 机 和 Internet 连接 之 
间 安 置 一 套 网 络 监控 系统 ， 以 便 悄悄 记录 进出 计算 机 的 所 有 流量 。 然 后 ， 只 需 坐 下 来 ， 
等 待 攻 击 者 自 投 罗网 。 

然而 ， 设 置 蜜 把 并 不 是 没有 风险 。 这 是 因为 ， 大 部 分 安全 受到 威胁 的 系统 会 被 黑客 
用 来 攻击 其 他 系统 。 这 就 是 下 游 责任 (Downstream Liability), 由 此 引出 了 蜜 网 (Honeynet) 
这 一 话题 。 

蜜 网 是 指 另外 采用 了 各 种 入 侵 检测 和 安全 审计 技术 的 密 缸 ， 它 可 以 用 合理 方式 记录 
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下 黑客 的 行动 ， 同 时 尽量 减 小 或 排除 对 Intemet 上 其 他 系统 造成 的 风险 。 设 置 在 反 向 防 
火 墙 后 的 蜜 铅 就 是 一 个 例子 。 防 火 墙 的 目的 不 是 防止 入 站 连接 ， 而 是 防止 蜜 钢 建 立 出 站 
连接 。 不 过 ， 虽 然 这 种 方法 可 以 使 蜜 钢 不 会 破坏 其 他 系统 ， 但 很 容易 被 黑客 发 现 。 

数据 收集 是 设置 蜜 缸 的 另 一 项 技术 挑战 。 蜜 缸 监 控 者 只 要 记录 下 进出 系统 的 每 个 数 
据 包 ， 就 能 够 对 黑客 的 所 作 所 为 一 清二 楚 。 窄 缸 本 身 的 日 志文 件 也 是 很 好 的 数据 来 源 。 
但 日 志文 件 很 容易 被 攻击 者 删除 。 所 以 通常 的 办 法 就 是 让 蜜 缸 向 同一 网 络 上 防御 机 制 较 
完善 的 远程 日 志 服 务 器 发 送 日 志 备份 。 

(2) BRR 

Ri RST AL -REKKRD TOT BET HE . RP aE FS By BC HF BRS 
器 ， 攻 击 流 量 通常 会 被 合法 流量 所 淹没 ， 而 蜜 镀 进 出 的 数据 大 部 分 是 攻击 流量 。 因 此 ， 
浏览 数据 、 查 明 攻 击 者 的 实际 行为 也 相对 容易 了 。 

自 1999 年 启动 以 来 , 蜜 网 计划 已 经 收集 了 大 量 信息 , 详情 可 访问 www.honeynet.org. 
信息 表明 : 攻击 率 在 过 去 一 年 增加 了 一 倍 ; 攻击 者 越 来 越 多 地 使 用 能 够 堵 住 漏洞 的 自动 
点 击 工具 (如 果 发 现 新 漏洞 ， 工 具 很 容易 更 新 ); 尽管 声势 很 大 ,但 很 少 有 黑客 采用 新 的 
攻击 手法 。 

蜜 负 不 仅 是 一 种 研究 工具 ， 同 样 有 着 真正 的 商业 应 用 价值 。 将 蜜 铅 设 置 在 与 公司 网 
站 或 邮件 服务 器 相 邻 的 他 地址 上 ， 就 可 以 了 解 公司 网 络 所 遭 到 的 攻击 了 。 

蜜 负 领域 最 让 人 兴奋 的 发 展 成 果 之 一 就 是 出 现 了 虚拟 蜜 网 。 虚 拟 计算 机 网 络 运行 在 
使 用 VMware 或 User-Mode Linux 等 虚拟 计算 机 系统 的 单一 机 器 之 上 。 虚 拟 系 统 可 以 在 
单一 主机 系统 上 运行 几 台 虚拟 计算 机 (通常 是 4 一 10 台 )。 虚拟 蜜 网 大 大 降低 了 蜜 镀 的 成 
本 及 管理 的 难度 ， 节 省 了 机 器 占用 的 空间 。 此 外 ， 虚 拟 系统 通常 支持 “悬挂 ” 和 “恢复 ” 
功能 ， 这 样 就 可 以 冻结 受到 安全 威胁 的 计算 机 ， 分 析 攻 击 方法 。 


13.5 _HIDS 


HIDS 出 现在 20 世纪 80 年 代 初期 ， 那 时 网 络 还 没有 今天 这 样 普遍 、 复 杂 ， 且 网 络 
之 间 也 没有 完全 连通 。 其 检测 的 目标 主要 是 主机 系统 和 本 地 用 户 。 检 测 原 理 是 根据 主机 
的 审计 数据 和 系统 日 志 发 现 可 疑 事件 ， 检 测 系统 可 以 运行 在 被 检测 的 主机 或 单独 的 主 
机 上 。 

在 这 一 较为 简单 的 环境 中 ， 最 常见 的 操作 是 检查 可 疑 行 为 的 检测 记录 。 由 于 入 侵 行 
为 在 当时 很 少见 ， 对 攻击 进行 事后 分 析 就 可 以 防止 日 后 的 攻击 。 

当前 的 HIDS 仍 使 用 验证 记录 ， 但 自动 化 程度 大 大 提高 ， 并 发 展 了 精密 的 可 迅速 做 
出 响应 的 检测 技术 。 通 常 ， 基 于 主机 的 IDS 可 监测 系统 、 事 件 和 Windows NT 下 的 安全 
记录 及 UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ，IDS 将 新 的 记录 条 目 与 攻击 标 
记 相 比较 ， 看 二 者 是 否 匹 配 ， 如 果 匹 配 ， 系 统 就 会 向 管理 员 报 警 并 向 其 他 的 目标 报告 ， 
以 采取 措施 。 

基于 主机 的 入 侵 检测 系统 有 以 下 特点 : 
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1. 监视 特定 的 系统 活动 

HIDS 监视 用 户 和 访问 文件 的 活动 ， 包 括 文件 访问 、 改 变 文件 权限 、 试 图 建立 新 的 
可 执行 文件 或 试图 访问 特殊 的 设备 。 例 如 ， 基 于 主机 的 IDS 可 以 监督 所 有 用 户 的 登录 及 
下 网 情况 ， 以 及 每 位 用 户 在 连接 网 络 后 的 行为 ， 而 基于 网 络 的 系统 要 做 到 这 种 程度 是 非 
常 困难 的 。 

HIDS 还 可 以 监视 只 有 管理 员 才 能 实施 的 异常 行为 。 操 作 系统 记录 了 任何 有 关 用 户 
账号 的 增加 、 删 除 、 更 改 的 情况 ， 一 旦 发 生变 化 ， 基 于 主机 的 IDS 就 能 检测 到 这 种 不 适 
当 的 变化 。 基 于 主机 的 IDS 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 。 

最 后 ，HIDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 改 
写 重 要 系统 文件 或 安装 特洛伊 木马 及 后 门 的 尝试 ， 并 将 它们 中 断 。 而 NDS 有 时 不 会 发 
现 这 些 异常 行为 。 


2. 非常 适用 于 加 密 和 交换 环境 

既然 基于 主机 的 系统 驻 留 在 网 络 中 的 主机 上 ， 那 么 ， 它 们 可 以 克服 基于 网 络 的 入 侵 
检测 系统 在 交换 和 加 密 环境 中 所 面临 的 一 些 困难 。 由 于 在 大 的 交换 网 络 中 确定 IDS 的 
最 佳 位 置 和 网 络 覆 盖 非 常 困难 ， 因 此 基于 主机 的 检测 驻 留 在 关键 主机 上 可 避免 这 一 
难题 。 

根据 在 加 密 后 驻 留 在 协议 栈 中 的 位 置 ，NIDS 可 能 无 法 检测 到 某 些 攻击 。 基 于 主机 
的 IDS 并 没有 这 个 限制 ， 因 为 当 操作 系统 〈 也 包括 HDS) 收 到 发 来 的 数据 包 时 ， 数 据 
序列 已 经 被 解密 。 


3. 近 实时 的 检测 和 应 答 

尽管 基于 主机 的 检测 并 不 提供 真正 实时 应 答 ， 但 新 的 基于 主机 的 检测 技术 已 经 能 够 
提供 近 实 时 检测 和 应 答 。 早 期 的 系统 主要 使 用 一 个 进程 来 定时 检测 日 志文 件 的 状态 和 内 
容 ， 而 许多 现 有 的 HIDS 在 任何 日 志文 件 发 生变 化 时 ， 都 可 以 从 操作 系统 及 时 接收 一 个 
中 断 ， 这 样 就 大 大 缩短 了 攻击 识别 和 应 答 之 间 的 时 间 。 


4. 不 需要 额外 的 硬件 

基于 主机 的 检测 驻 留 在 现 有 的 网 络 基础 设施 上 ， 其 中 包括 文件 服务 器 、Web 服务 器 
和 其 他 的 共享 资源 等 ， 这 样 就 减少 了 基于 主机 的 IDS 的 实施 成 本 ， 因 为 不 需要 添加 新 的 
硬件 ， 所 以 也 就 减少 了 以 后 维护 和 管理 这 些 硬件 设备 的 负担 。 


13.5.1 HIDS 设计 


越 来 越 多 的 计算 机 病毒 和 黑客 绕 过 外 围 安全 设备 向 主机 发 起 攻击 。 在 检测 针对 主机 
的 攻击 方面 , 基于 网 络 的 入 侵 检测 系统 (NIDS) 显 得 无 能 为 力 , 而 基于 主机 的 IDS (HIDS) 
却 能 够 检测 这 种 攻击 。HIDS 软件 安装 在 服务 器 上 ， 也 可 以 安装 在 PC 和 笔记 本 当中 ,被 
认为 是 保护 关键 服务 器 的 最 后 一 道 防 线 ， 是 企业 整体 安全 策略 的 关键 部 分 。 

在 通常 情况 下 ， 企 业 针 对 服务 器 业务 价值 的 大 小 采取 不 同 的 安全 措施 。HIDS 代理 
程序 通常 被 部 署 在 关键 服务 器 上 。 这 些 服务 器 通常 是 网 络 基础 设施 服务 器 、 业 务 基 础 设 
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施 服务 器 和 保存 着 企业 商业 机 密 的 服务 器 。 

HIDS 能 够 监测 系统 文件 、 进 程 和 日 志文 件 ， 寻 找 可 疑 活动 。 多 数 HIDS 代理 程序 根 
据 攻击 特征 来 识别 攻击 。 与 防 病毒 软件 功能 类 似 ，HIDS 代理 能 够 分 析 不 同形 式 的 数据 
包 和 不 同 特征 的 攻击 行为 。HIDS 扫描 操作 系统 和 应 用 程序 日 志文 件 ， 查 找 恶 意 行为 的 
痕迹 ， 检 测 文件 系统 ， 查 看 敏感 文件 是 否 被 非法 访问 或 被 算 改 ， 检 测 进出 主机 的 网 络 传 
输 流 ， 发 现 攻击 。 

黑客 和 病毒 常用 的 一 个 攻击 手段 是 利用 关键 系统 存在 的 缓冲 区 溢出 漏洞 进行 攻击 。 
缓冲 区 溢出 相当 于 打开 了 系统 后 门 ， 为 非法 访问 者 提供 了 根 级 或 管理 员 级 的 访问 权限 。 
攻击 者 通过 操作 系统 的 后 门 ， 将 一 个 特洛伊 木马 程序 复制 到 系统 文件 夹 中 ， 并 将 这 个 特 
洛 伊 文件 注册 到 操作 系统 或 程序 调用 中 , 并 在 系统 被 重新 引导 时 执行 该 特洛伊 木马 程序 。 
每 当 系统 启动 时 ， 这 个 恶意 的 特洛伊 程序 就 会 开始 执行 事先 定义 的 各 种 恶意 活动 。 

通过 将 代理 程序 安装 在 服务 器 上 ，HIDS 可 以 检测 缓冲 区 溢出 攻击 。 如 果 需 要 ， 
HIDS 还 可 以 在 特洛伊 程序 被 复制 时 、Windows 注册 表 被 修改 时 或 特洛伊 程序 被 执行 时 
阻止 入 侵 。 

一 旦 检测 到 入 侵 ，HIDS 代理 程序 可 以 利用 多 种 方式 做 出 反应 。 它 可 以 生成 一 个 与 
其 他 事件 相关 联 的 事件 报告 ， 可 以 利用 电子 邮件 、 呼 机 或 手机 向 管理 人 员 发 出 警报 ， 可 
以 执行 特定 的 程序 或 脚本 ， 阻 止 攻击 。 越 来 越 多 的 HIDS 能 够 在 可 疑 活动 的 传输 过 程 中 
检测 到 它们 ， 从 而 可 以 在 攻击 到 达 目 标 之 前 阻止 它们 。 

在 加 强 主机 防御 和 降低 主机 安全 风险 方面 ，HIDS 具有 独特 的 优势 。 它 能 够 弥补 
NIDS, FAREN IDS 及 防火 墙 在 保护 主机 方面 的 不 足 ， 应 当成 为 企业 多 层 安全 战略 的 
组 成 部 分 。 


13.5.2 HIDS 关键 技术 


主机 入 侵 检测 系统 通常 在 被 重点 检测 的 主机 上 运行 一 个 代理 程序 。 该 代理 程序 扮演 
着 检测 引擎 的 角色 ， 根 据 主 机 行为 特征 库 对 受 检测 主机 上 的 可 疑 行为 进行 采集 、 分 析 和 
判断 ， 并 把 告警 日 志 发 送 给 控制 端 程序 ， 由 管理 员 集中 管理 。 此 外 ， 代 理 程序 需要 定期 
给 控制 端 发 出 信号 ， 使 管理 员 能 确信 代理 程序 工作 正常 。 如 果 是 个 人 主机 入 侵 检测 ， 代 
理 程 序 和 控制 端 管理 程序 可 以 合并 在 一 起 ， 管 理 程序 也 简单 得 多 。 

在 Windows NT/2000 中 ， 系 统 有 自 带 的 安全 工具 ， 类 似 于 早期 Windows 版 本 的 策 
略 编 辑 器 。 利 用 这 个 工具 可 以 使 安全 策略 的 规划 和 实施 变 得 更 加 容易 。 安 全 策略 问题 包 
括 账号 策略 、 本 地 策略 、 共 钥 策略 和 IP 安全 策略 。 系 统 中 违反 安全 策略 的 行为 都 作为 事 
件 发 送 给 系统 安全 日 志 。 主 机 入 侵 检测 可 以 根据 安全 日 志 分 析 、 判 断 入 侵 行为 。 


1. 文件 和 注册 表 保护 技术 

在 主机 入 侵 检 测 系统 中 ， 无 论 采 用 什么 操作 系统 ， 普 遍 使 用 到 各 种 勾 子 技术 ， 对 系 
统 的 各 种 事件 、 活 动 进行 截获 分 析 。 在 Windows NT/2000 中 ， 由 于 系统 中 的 各 种 API 子 
系统 (如 Win32 子 系统 、Posix 子 系统 及 其 他 系统 ) 最 终 都 要 调用 相应 的 系统 服务 例 程 
(System Services Routines)， 所 以 可 以 将 系统 服务 例 程 勾 子 化 。 入 侵 检测 系统 通过 捕获 操 
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作文 件 系统 和 注册 表 的 函数 来 检测 对 文件 系统 和 注册 表 的 非法 操作 。 在 某 些 系统 中 ， 可 
以 通过 复制 勾 子 处 理 函 数 。 这 不 仅 可 以 对 敏感 文件 或 目录 检测 非法 操作 ， 还 可 以 阻止 对 
文件 或 目录 进行 的 操作 。 


2. 网 络 安全 防护 技术 

网 络 安全 防护 是 大 多 数 主机 入 侵 检测 系统 的 核心 模块 之 一 。 该 模块 需要 使 用 NDIS 
等 技术 分 析 数 据 包 的 有 关 源 地 址 、 协 议 类 型 、 访 问 端口 和 传输 方向 (OUT/IN) 等 ,并 与 
事件 库 中 的 事件 特征 进行 匹配 ， 判 断 数据 包 是 否 能 访问 主机 或 是 否 作为 入 侵 事 件 被 
报警 。 

NDIS 是 用 于 Windows 系列 操作 系统 的 网 络 驱动 程序 接口 。 按 照 NDIS 提供 的 接口 
标准 ， 任 何 与 NDIS 兼容 的 传输 驱动 程序 都 能 够 和 与 NDIS 兼容 的 网 络 适 配器 驱动 程序 
进行 信息 交流 。 也 可 以 采用 NDIS HOOK + WinSock2 SPI 双重 技术 实现 更 复杂 、 更 灵活 
的 安全 防护 和 入 侵 分 析 功 能 。 编 写 NDIS 驱动 程序 ， 需 要 的 技巧 比较 高 ， 而 且 烦 琐 ， 需 
要 考虑 很 多 细节 。 有 关 具 体 的 实现 方法 ， 请 参见 Win2k DDK 文档 。 

拨号 检测 在 主机 入 侵 检测 系统 中 也 有 其 特殊 用 途 。 很 多 重要 部 门 都 装 有 内 部 网 ， 出 
于 对 信息 的 高 度 安全 要 求 ， 公 司 (或 部 门 ) 不 希望 员工 私自 安装 Modem 拨号 入 网 。 安 
装 于 内 部 网 中 的 带 有 拨号 检测 的 主机 入 侵 检 测 系统 可 以 检测 到 员工 的 这 种 违规 行为 并 及 
时 阻止 。 在 内 部 网 中 ， 如 果 要 阻止 员工 侵入 其 他 员工 的 系统 窃取 机 密 信息 ， 通 常 需要 主 
机 入 侵 检测 系统 对 不 同 主机 中 的 敏感 文件 或 目录 进行 检测 。 


3. IIS 保护 技术 

作为 一 个 WWW 服务 器 软件 ， 微 软 公司 的 Intemet 信息 服务 器 (Intemet Infomation 
Server, IS) 简单 易学 ， 管 理 方便 ， 被 广泛 使 用 。 大 部 分 HIDS 产品 都 增加 了 IS 保护 模 
KR. US 保护 主要 是 针对 “HTTP 请 求 和 “缓冲 区 溢出 入 “关键 字 ” 和 “物理 目录 ”等 完 
成 对 IIS 服务 器 的 加 固 功能 。 该 模块 能 检测 常见 的 针对 微软 IS 服务 器 的 攻击 , 并 能 在 一 
定 程度 上 预防 利用 未 知 漏洞 所 进行 的 攻击 。 

(1) HTTP 请 求 类 型 

指定 可 以 到 达 TS 服务 器 的 HTTP 请 求 的 类 型 ， 被 禁止 的 请 求 类 型 将 被 拦截 ， 从 而 
使 IS 服务 不 对 这 些 请 求 进行 处 理 。 因 为 某 些 类 型 的 HTTP 请 求 曾 被 发 现存 在 潜在 的 安 
全 漏洞 。 

通常 只 需要 允许 GET. POST, HEAD 类 型 的 请 求 ， 便 可 以 让 其 他 人 通过 浏览 器 正 
常 访问 IIS 网 站 。 

(2) 缓冲 区 溢出 

攻击 者 通常 通过 工具 构造 出 各 种 畸形 数据 包 对 服务 器 进行 试探 ， 以 发 现 目标 机 器 中 
潜在 的 缓冲 区 溢出 漏洞 。IIS 保护 模块 可 以 对 超 长 的 HITP 请 求 包 进行 检测 ， 拦 截 非法 的 

(3) 关键 字 

对 HTTP 请 求 进行 内 容 分 析 ， 禁 止 包 含 某 些 关键 字 的 请 求 ， 如 cmd.exe 等 。 
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(4) 物理 目录 

禁止 通过 HTTP 请 求 进行 物理 目录 的 非法 映射 操作 。 

可 以 通过 ISAPI 过 滤器 实现 上 述 功能 ， 进 行 自己 定制 的 处 理 。ISAPI 过 滤器 可 以 定 
制 以 下 的 处 理 : 接收 HTTP 协议 头 预 处 理 、 发 送 HTTP 协议 头 预 处 理 、 发 送 数据 预 处 理 、 
获得 数据 预 处 理 、HTTP 会 话 结束 信息 处 理 、 自 定义 的 安全 认证 机 制 、URL 映射 信息 处 
理 及 日 志 记录 处 理 等 。 


4. 文件 完整 性 分 析 技 术 

基于 主机 的 入 侵 检测 系统 的 一 个 优势 是 可 以 根据 结果 进行 判断 。 判 据 之 一 就 是 关键 
系统 文件 有 没有 在 未 经 允许 的 情况 下 被 修改 ， 包 括 访问 时 间 、 文 件 大 小 和 MD-5 密码 校 
验 值 。HIDS 一 般 使 用 杂凑 函数 进行 文件 完整 性 分 析 。 有 关 杂 凑 算 法 的 详细 介绍 ， 请 参 
考 相关 的 密码 学 教材 。 

主机 入 侵 检测 系统 需要 与 现 有 系统 紧密 集成 ， 支 持 的 平台 越 多 越 好 。 目 前 的 主流 商 
业 入 侵 检测 系统 通常 支持 或 将 支持 大 部 分 主流 的 企业 级 Windows 和 UNIX 系统 。 
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在 实际 应 用 中 ， 经 常 发 现 如 下 一 些 现象 : 

(1) 系统 的 弱点 或 漏洞 分 散在 网 络 的 各 个 主机 上 ， 这 些 弱 点 有 可 能 被 入 侵 者 一 起 用 
来 攻击 网 络 ， 而 依靠 唯一 的 主机 或 网 络 ，IDS 不 能 发 现 入 侵 行为 。 

(2) 入 侵 行 为 不 再 是 单一 的 行为 ， 而 表现 出 协作 入 侵 的 特点 ， 如 分 布 式 拒绝 服务 攻 
it (DDoS). 

G) 入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ， 收 集 原 始 数据 变 得 困难 ， 如 交换 网 络 使 得 
监听 网 络 数据 包 受 到 限制 。 

(4) 网 络 传输 速度 加 快 ， 网 络 的 流量 大 ， 集 中 处 理 原 始 数据 的 方式 往往 造成 检测 瓶 
颈 ， 从 而 导致 漏 检 。 

为 了 解决 上 述 问题 ，DIDS 应 运 而 生 。DIDS 通常 由 数据 采集 构件 、 通 信 传 输 构 件 、 
入 侵 检测 分 析 构件 、 应 急 处 理 构 件 和 用 户 管理 构件 等 组 成 ， 如 图 13-7 所 示 。 这 些 构件 可 
根据 不 同情 况 组 合 ， 如 数据 采集 构件 和 通信 传输 构件 组 合 就 产生 出 新 的 构件 ， 这 些 新 的 
构件 能 够 完成 数据 采集 和 传输 的 双重 任务 。 所 有 这 些 构件 组 合 起 来 就 变 成 一 个 入 侵 检 测 
系统 。 各 构件 的 功能 如 下 : 

(1) 数据 采集 构件 :收集 检测 使 用 的 数据 ， 可 驻 留 在 网 络 中 的 主机 上 ， 或 者 安装 在 
网 络 的 检测 点 上 。 数 据 采 集 构 件 需 要 通信 传输 构件 的 协作 ， 将 采集 的 信息 送 到 入 侵 检测 
分 析 构 件 中 进行 处 理 。 

(2) 通信 传输 构件 ， 传递 加 工 、 处 理 原 始 数据 的 控制 命令 ， 一 般 需要 和 其 他 构件 协 
作 完 成 通信 功能 。 

(3) 入 侵 检测 分 析 构 件 : 依据 检测 的 数据 ， 采 用 检测 算法 ， 对 数据 进行 误 用 分 析 和 
异常 分 析 ， 产 生 检 测 结果 、 报 警 和 应 急 信号 。 
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(4) 应 急 处 理 构件 : 按 入 侵 检测 的 结果 和 主机 、 网 络 的 实际 情况 做 出 决策 判断 ， 对 
入 侵 行 为 进行 响应 。 

(5) 用 户 管理 构件 : 管理 其 他 构件 的 配置 ， 产 生 入 侵 总 体 报告 ， 提 供用 户 和 其 他 构 
件 的 管理 接口 、 图 形 化 工具 或 可 视 化 的 界面 ， 供 用 户 查询 和 检测 入 侵 系 统 的 情况 等 。 


数据 采集 构件 A a 通信 传输 构件 


用 户 管理 构件 

应 名 处 理 构件 -一 | 人 一 -| 入 食 检 油分 析 构件 

安全 知识 库 
图 13-7 分 布 式 入 侵 检测 系统 结构 示意 图 

采用 分 布 式 结构 的 IDS 目前 成 为 研究 的 热点 ， 较 早 的 系统 有 DIDS 和 CSM。DIDS 


是 典型 的 分 布 式 结构 系统 ， 系 统 框图 如 图 13-8 所 示 。 其 目标 是 既 能 检测 网 络 入 侵 行为 ， 
又 能 检测 主机 入 侵 行 为 。 


控制 台 响应 系统 >> 数据 流 
3 =] litt 


分 析 系统 K 存储 系统 


7 1 
网 络 引擎 主机 代理 扩展 部 件 
13-8 DIDS 系统 框图 


37 ”IDS 设计 上 的 考虑 与 部 署 


13.7.1 控制 台 的 设计 


控制 台 通 过 直观 、 方 便 的 操作 界面 管理 远程 探测 器 ， 汇 总 各 个 探测 器 报告 的 告警 事 
件 ， 并 实现 日 志 检索 、 备 份 、 恢 复 、 报 表 等 功能 。 控 制 台 的 设计 重点 是 日 志 检索 、 探 测 
器 管理 、 规 则 管理 、 日 志 报 表 及 用 户 管理 等 。 


1. 日 志 检 索 

网 络 管理 员 可 以 使 用 单一 条 件 或 复合 条 件 进 行 检索 ， 当 告警 日 志 数量 庞大 、 来 源 广 
泛 时 ， 系 统 需要 对 告警 日 志 按照 危险 等 级 进行 分 类 ， 从 而 突出 显示 网 络 管理 员 需 要 的 最 
重要 信息 。 日 志 检索 的 条 件 至 少 包 括 来 源 地 址 、 目 标 地 址 、 来 源 端口 、 目 标 端口 、 攻 击 
特征 、 风 险 等 级 、 时 间 段 等 。 


2. 探测 器 管理 
控制 台 可 以 一 次 管理 多 个 探测 器 ， 包 括 启动 、 停 止 、 配 置 探测 器 和 查看 探测 器 运行 


386 


第 13 章 入 侵 检 测 技术 Bm 


3. 规则 管理 

为 用 户 提 供 根据 不 同 网 段 具体 情况 灵活 配置 安全 策略 的 工具 ， 针 对 不 同情 况 制 定 相 
应 的 安全 规则 。 提 供 规则 的 在 线 和 离线 升级 功能 ， 设 置 每 条 规则 的 响应 策略 及 允许 管理 
自 定义 规则 等 。 

另外 ， 针 对 每 条 规则 还 需要 提供 详细 的 帮助 信息 〈 包 括 攻 击 类 型 、 详 细 描述 、 风 险 
等 级 、 解 决 方案 、 受 影响 的 操作 系统 、CVE、 相 关 参 考 链 接 等 )。 

志 报 表 
Se tas eee 且 报 表格 式 可 以 导出 WORD, HTML, 

TXT、EXCEL、PDF 等 常用 的 格式 。 

5. 用 户 管理 

对 用 户 权 限 进行 严格 的 定义 ， 提 供 口令 修改 、 添 加 用 户 、 删 除 用 户 、 用 户 权限 配置 
等 功能 ， 有 效 保护 系统 使 用 的 安全 性 。 


控制 台 功 能 框图 如 图 13-9 所 示 。 
安装 控制 台 
设置 密码 
启动 控制 台 
身份 验证 
i 
探测 器 管理 系统 配置 日 志 管 理 | 
i i 
EMANE 1 环境 配置 1 日 志 记录 
i 2 数据 库 配置 2 日志 浏览 
1 连接 探测 器 3 运行 参数 配置 3 日 志 查 询 
2 获取 探测 器 控制 权 | [4 告警 参数 配置 4 日 志 统计 
3 时 间 同 步 操作 5 账号 管理 功能 配置 | | 5 报表 分 析 
4 配置 探测 器 属性 ”| 。 | 6 在 线 升级 规则 配置 | | 6 日志 备份 
5 配置 告 车 响应 策略 | [7 计划 任务 配置 7 日 志 恢 复 
6 配置 探测 器 规则 
TERI RHE E 规则 管理 
allali 导 fel fe] [= 
和 ih i 入 | |i 
i fa | | 规 
wa} | [i 


图 13-9 控制 台 功 能 框图 


13.72 ”自身 安全 设计 


计算 机 网 络 入 侵 检测 系统 部 署 在 网 络 的 关键 节点 上 ， 捕 获 并 记录 黑客 的 入 侵 行 为 。 
这 一 特殊 性 决定 它 必 然 受到 攻击 者 的 特别 关注 ， 所 以 入 侵 检测 系统 自身 的 安全 问题 非常 
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重要 。 在 系统 设计 中 ， 需 要 充分 考虑 系统 自身 的 安全 体系 结构 。 


1. 系统 安全 

计算 机 网 络 入 侵 检测 系统 部 署 在 网 络 的 关键 节点 上 , 通常 放置 在 防火 墙 的 DMZ 中 
当 攻 击 成 功 通过 防火 墙 后 ， 该 系统 会 识别 攻击 ， 产 生 告警 ， 并 通过 与 防火 墙 联动 来 阻 断 
攻击 。 这 样 不 仅 能 检测 到 黑客 的 攻击 和 入 侵 ， 同 时 又 能 够 减少 黑客 的 干扰 。 将 监听 网 口 
与 管理 网 口 分 离 ， 监 听 网 口 印 掉 栈 使 得 监听 网 口 不 带 任何 IP 地 址 ， 实 现 隐藏 IDS 探 
测 器 的 目的 。 检 测 系统 所 在 的 操作 系统 平台 安装 最 新 的 系统 补丁 ， 停 止 一 些 不 必要 的 守 
护 服务 程序 ， 禁 止 大 部 分 远程 访问 权限 ， 设 置 安全 策略 审核 策略 管理 、 登 录 事件 等 重要 
的 系统 操作 ， 删 除 默认 共享 ， 禁 止 匿 名 账号 等 ， 防 止 黑客 对 IDS 主机 的 攻击 。 

2. 认证 和 审计 

为 了 防止 非法 用 户 的 使 用 ， 控 制 台 管理 程序 的 登录 必须 首先 进行 高 强度 的 身份 认证 ， 
并 且 对 用 户 的 登录 事件 和 具体 操作 过 程 进行 详细 的 审计 。 在 身份 认证 方面 ， 密 码 和 账号 不 
能 少 于 6 位 ， 必 须 是 数字 和 字母 的 组 合 ， 并 且 密 码 和 账号 不 能 相同 ， 以 增加 破解 难度 ; 设 
计 账 号 锁定 和 定期 修改 策略 ， 防 止 暴力 破解 。 另外， 最 好 不 保存 管理 员 密码 , 使 用 SHA-1 
等 单 向 算法 ， 只 保存 杂凑 后 的 数据 ， 从 而 保证 密码 的 安全 。 在 程序 安全 性 方面 ， 使 用 完整 
性 检查 功能 ， 设 置 策略 定期 对 重要 文件 进行 完整 性 检查 ， 防 止 程序 和 文件 的 非法 繁 改 。 

3. 通信 安全 

控制 台 和 探测 器 之 间 的 通信 采用 TCP/IP。 由 于 TCP 本 身 没 有 任何 安全 措施 ， 通 
信 内 容 有 可 能 泄漏 。 为 了 保护 控制 台 和 探测 器 之 间 的 通信 ， 可 以 采用 安全 套 接 层 (SSL) 
协议 对 传输 的 数据 进行 加 密 ， 实 现 通信 数据 的 完整 性 和 保密 性 。 


13.7.3 IDS 的 典型 部 署 


在 网 络 中 部 署 IDS 时 ,可 以 使 用 多 个 NIDS 和 HIDS, 这 要 根据 网 络 的 实际 情况 和 自 
己 的 需求 。 图 13-10 是 一 个 典型 的 IDS 的 部 署 图 。 


防火 墙 


i|| NIDS 


Switch® 


Hub 
NIDS NIDS HIDS 


re 


控制 台 Ra 
图 13-10 典型 的 IDS 的 部 署 图 
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38 IDS 的 发 展 方向 


随 着 网 络 技术 和 网 络 规模 的 不 断 发 展 ， 人 们 对 于 计算 机 网 络 的 依赖 也 不 断 增强 。 同 
时 ， 针 对 网 络 系统 的 攻击 越 来 越 普遍 ， 攻 击 手法 日 趋 复杂 。IDS 也 随 着 网 络 技术 和 相关 
学 科 的 发 展 而 日 趋 成 熟 ， 其 未 来 发 展 的 趋势 主要 表现 在 以 下 方面 : 


1. 宽带 高 速 实时 的 检测 技术 

大 量 高 速 网 络 技术 ， 如 ATM、 千 兆 以 太 网 等 相继 出 现 ， 在 此 背景 下 的 各 种 宽带 接 入 
手段 层出不穷 。 如 何 实现 高 速 网 络 下 的 实时 入 侵 检测 已 经 成 为 现实 面临 的 问题 。 目 前 的 
FIG IDS 产品 其 性 能 指标 与 实际 要 求 相差 很 远 。 要 提高 其 性 能 主要 应 考虑 以 下 两 个 方面 
首先 ，IDS 的 软件 结构 和 算法 需要 重新 设计 ， 以 期 适应 高 速 网 的 环境 ， 提 高 运行 速度 和 
效率 ， 其 次 ， 随 着 高 速 网 络 技术 的 不 断 发 展 与 成 熟 ， 新 的 高 速 网 络 协议 的 设计 也 必 将 成 
为 未 来 发 展 的 趋势 ， 现 有 IDS 如 何 适应 和 利用 未 来 的 新 网 络 协议 将 是 一 个 全 新 的 问题 。 


2. 大 规模 分 布 式 的 检测 技术 

传统 的 集中 式 IDS 的 基本 模型 是 在 网 络 的 不 同 网 段 放置 多 个 探测 器 来 收集 当前 网 络 
状态 的 信息 ， 然 后 将 这 些 信 息 传送 到 中 央 控 制 台 进行 处 理 分 析 。 这 种 方式 存在 明显 的 缺 
陷 。 首 先 ， 对 于 大 规模 的 分 布 式 攻击 ， 中 央 控 制 台 的 负荷 将 会 超过 其 处 理 极限 ， 这 种 情 
况 会 造成 大 量 处 理 信息 的 遗漏 ， 导 致 漏 报 率 的 增高 。 其 次 ， 多 个 探测 器 收集 到 的 数据 在 
网 络 上 的 传输 会 在 一 定 程度 上 增加 网 络 负担 ， 导 致 网 络 系统 性 能 的 降低 。 再 者 ， 由 于 网 
络 传输 的 时 延 问 题 ， 中 央 控 制 台 处 理 的 网 络 数据 包 中 所 包含 的 信息 只 反映 了 探测 器 接收 
到 它 时 的 网 络 状态 ， 不 能 实时 反映 当前 网 络 状 态 。 

面 对 以 上 问题 ， 新 的 解决 方法 也 随 之 产生 ， 例 如 Purdue 大 学 开发 的 AAFID 系统 ， 
该 系统 是 Purdue 大 学 设计 的 一 种 采用 树 形 分 层 构 造 的 代理 群体 ， 根 部 是 监视 器 代理 ， 提 
供 全 局 的 控制 、 管 理 ， 以 及 分 析 由 下 一 层 节点 提供 的 信息 ， 在 树叶 部 分 的 代理 专门 用 来 
收集 信息 。 处 在 中 间 层 的 代理 被 称 为 收发 器 , 这些 收 发 器 一 方面 实现 对 底层 代理 的 控制 ， 
一 方面 可 以 对 信息 做 预 处 理 ， 把 精练 的 信息 反馈 给 上 层 的 监视 器 。 这 种 结构 采用 了 本 地 
代理 处 理 本 地 事件 ， 中 央 代理 负责 整体 分 析 的 模式 。 与 集中 式 不 同 ， 它 强调 通过 全 体 智 
能 代理 的 协同 工作 来 分 析 入 侵 策 略 。 这 种 方法 明显 优 于 前 者 , 但 同时 带 来 一 些 新 的 问题 ， 
如 代理 间 的 协作 和 通信 等 。 这 些 问题 仍 在 进一步 研究 中 。 


3. 数据 挖掘 技术 

操作 系统 的 日 益 复杂 和 网 络 数据 流量 的 急剧 增加 , 导致 了 审计 数据 以 惊人 速度 增加 ， 
如 何在 海量 的 审计 数据 中 提取 具有 代表 性 的 系统 特征 模式 ， 以 及 对 程序 和 用 户 行为 做 出 
更 精确 的 描述 ， 是 实现 入 侵 检测 的 关键 。 

数据 挖掘 技术 是 一 项 通用 的 知识 发 现 技 术 ， 其 目的 是 要 从 海量 数据 中 提取 对 用 户 有 
用 的 数据 。 将 该 技术 用 于 入 侵 检测 领域 ， 利 用 数据 挖掘 中 的 关联 分 析 、 序 列 模式 分 析 等 
算法 提取 相关 的 用 户 行为 特征 ， 并 根据 这 些 特征 生成 安全 事件 的 分 类 模型 ， 应 用 于 安全 
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事件 的 自动 鉴别 。 一 个 完整 的 基于 数据 挖掘 的 入 侵 检 测 模型 包括 对 审计 数据 的 采集 、 数 
据 预 处 理 、 特 征 变量 选取 、 算 法 比较 、 挖 掘 结果 处 理 等 一 系列 过 程 。 这 项 技术 难点 在 于 
如 何 根据 具体 应 用 的 要 求 ， 从 用 于 安全 的 先 验 知识 出 发 ， 提 取 可 以 有 效 反 映 系 统 特性 的 
特征 属性 ， 应 用 合适 的 算法 进行 数据 挖掘 。 另 一 个 技术 难点 在 于 如 何 将 挖掘 结果 自动 地 
应 用 到 实际 的 IDS 中 。 目 前 ， 国 际 上 在 这 个 方向 上 的 研究 很 活跃 ， 这 些 研究 多 数 得 到 了 
美国 国防 部 高 级 计划 署 、 国 家 自然 科学 基金 的 支持 。 但 也 应 看 到 ， 数 据 挖 掘 技术 用 于 入 
侵 检测 的 研究 总 体 上 来 说 还 处 于 理论 探讨 阶段 ， 离 实际 应 用 还 有 相当 距离 。 


4. 更 先进 的 检测 算法 

在 入 侵 检测 技术 的 发 展 过 程 中 ， 新 算法 的 出 现 可 以 有 效 提 高 检测 效率 。 下 述 3 种 机 
器 学 习 算法 为 当前 检测 算法 的 改进 注入 了 新 的 活力 。 它 们 分 别 是 计算 机 免疫 技术 、 神 经 
网 络 技术 和 遗传 算法 。 

(1) 计算 机 免疫 技术 是 直接 受到 生物 免疫 机 制 的 启发 而 提出 的 。 在 生物 系统 中 ， 脆 
弱 性 因素 由 免疫 系统 来 处 理 ， 而 这 种 免疫 机 制 在 处 理 外 来 异体 时 呈现 出 分 布 、 多 样 性 、 
自治 及 自修 复 等 特征 ， 免 疫 系 统 通过 识别 异常 或 以 前 未 出 现 的 特征 来 确定 入 侵 。 计 算 机 
免疫 技术 为 入 侵 检测 提供 了 一 个 思路 ， 即 通过 正常 行为 的 学 习 来 识别 不 符合 常态 的 行为 
序列 。 这 方面 的 研究 工作 已 经 开展 很 入， 但 仍 有 待 于 进一步 深入 。 

(2) 神经 网 络 技术 在 入 侵 检测 中 的 应 用 研究 时 间 较 长 ， 并 在 不 断 发 展 。 早 期 的 研究 
通过 训练 后 向 传播 神经 网 络 来 识别 已 知 的 网 络 入 侵 ， 进 一 步 研究 识别 未 知 的 网 络 入 侵 行 
为 。 今 天 的 神经 网 络 技术 已 经 具备 相当 强 的 攻击 模式 分 析 能 力 ， 能 够 较 好 地 处 理 带 噪声 
的 数据 ， 而 且 分 析 速 度 很 快 ， 可 以 用 于 实时 分 析 。 现 在 提出 了 各 种 其 他 神经 网 络 架 构 ， 
诸如 自 组 织 特征 映射 网 络 等 ， 以 期 克服 后 向 传播 网 络 的 若干 限制 性 缺陷 。 

G) 遗传 算法 在 入 侵 检测 中 的 应 用 研究 时 间 不 长 ， 在 一 些 研究 试验 中 ， 利 用 若干 字 
符 串 序 列 来 定义 用 于 分 析 检测 的 命令 组 ， 用 以 识别 正常 或 异常 行为 。 这 些 命令 在 初始 训 
练 阶段 不 断 进化 ， 分 析 能 力 明显 提高 。 该 算法 的 应 用 还 有 待 于 进一步 的 研究 。 


5. 入 侵 响 应 技术 

SIDS 检测 出 入 侵 行为 或 可 疑 现 象 后 ， 系 统 需 要 采取 相应 手段 ， 将 入 侵 造 成 的 损失 
降 至 最 小 。 系 统一 般 可 以 通过 生成 事件 告警 、E-mail 或 短信 息 来 通知 管理 员 。 随 着 网 络 
变 得 日 益 复杂 和 安全 要 求 的 不 断 提 高 ， 更 加 实时 的 系统 自动 入 侵 响应 方法 正 逐 渐 得 到 研 
究 和 应 用 。 这 类 入 侵 响 应 大 致 分 为 3 类 : 系统 保护 、 动 态 策略 和 攻击 对 抗 。 这 3 方面 都 
属于 网 络 对 抗 的 范畴 ， 系 统 保护 以 减少 入 侵 损失 为 目的 ; 动态 策略 以 提高 系统 安全 性 为 
职责 ， 而 攻击 对 抗 则 不 仅 可 以 实时 保护 系统 ， 还 可 实现 入 侵 跟 踪 和 反 入 侵 的 主动 防御 
策略 。 

总 之 ， 入 侵 检测 技术 作为 当前 网 络 安全 研究 的 热点 ， 它 的 快速 发 展 和 极 具 潜 力 的 应 
用 前 景 需要 更 多 的 研究 人 员 参 与 。IDS 只 有 在 基础 理论 研究 和 工程 项 目 开发 多 个 层面 上 
同时 发 展 ， 才 能 全 面 提高 整体 检测 效率 。 
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4 是 


ng 填空 题 

1. 根据 数据 的 来 源 不 同 ，IDS 可 分 为 和 3 种 类 型 。 

2. 一 个 通用 的 IDS 模型 主要 由 和 和 4 部 分 
组 成 。 

3. 入 侵 检测 一 般 分 为 3 个 步骤 ， 分 别 为 和 

4. 一 个 NIDS 在 功能 结构 上 应 至 少 包 含 š 和 
4 部 分 功能 。 

5. DIDS 通常 由 T 7 ‘ All 5 个 构件 
组 成 。 

6. IDS 控制 台 主 要 由 s 和 5 个 功 
能 模块 构成 。 

7. HIDS 常安 装 于 E, m NDS 常安 装 于 入 口 处 。 

8. 潜在 入 侵 者 的 信息 可 以 通过 检查 日 志 来 获得 。 

9. 吸引 潜在 攻击 者 的 陷阱 称 为 ”  _。 


二 、 思 考题 

1. 入 侵 检测 系统 的 定义 是 什么 ? 

2. 入 侵 检测 系统 按照 功能 可 分 为 哪 几 类 ? 有 哪些 主要 功能 ? 
3. 一 个 好 的 IDS 应 该 满足 哪些 基本 特性 ? 

4. 常用 的 入 侵 检测 统计 模型 有 哪些 ? 

5. 试 分 析 基 于 异常 与 基于 误 用 这 两 种 检测 技术 的 优 缺 点 。 

6 

7 

8 

9 


. 什么 是 异常 检测 ?基于 异常 检测 原理 的 入 侵 检 测 方法 有 哪些 ? 

. 什么 是 误 用 检测 ?基于 误 用 检测 原理 的 入 侵 检 测 方 法 有 哪些 ? 

. 简 述 NIDS 和 HIDS 的 区 别 ， 并 对 各 自 采用 的 关键 技术 加 以 描述 。 
. 除了 异常 检测 和 误 用 检测 之 外 ， 还 有 哪些 常用 的 入 侵 检 测 技术 ? 
10. 简 述 NIDS 的 数据 流程 。 

Ll. 蜜 网 和 蜜 色 的 作用 是 什么 ? 它们 在 检测 入 侵 方面 有 什么 优势 ? 
12. IDS 在 自身 安全 设计 上 应 该 注意 哪些 问题 ? 

13. 请 画 出 各 类 IDS 在 一 个 实际 网 络 中 的 部 署 图 。 

14. 请 简 述 IDS 的 发 展 方向 。 
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随 着 电子 商务 和 电子 政务 应 用 的 日 益 普 及 ， 越 来 越 多 的 企业 欲 把 处 于 世界 各 地 的 分 
支 机 构 、 供 应 商 和 合作 伙伴 通过 Internet 连接 在 一 起 ， 以 加 强 总 部 与 各 分 支 机 构 的 联系 ， 
提高 企业 与 供应 商 和 合作 伙伴 之 间 的 信息 交换 速度 ， 使 移动 办 公 人 员 能 在 出 差 时 访问 总 
部 的 网 络 进行 信息 交换 。 为 了 实现 LAN-to-LAN 的 互 连 ， 传 统 的 企业 组 网 方案 是 租用 电 
信 DDN 专线 或 帧 中 继 电 路 以 组 成 企业 的 专用 网 络 ， 但 这 种 方案 成 本 太 高 ， 企 业 无 法 承 
受 。 对 于 移动 用 户 而 言 ， 出 差 时 只 能 通过 拨号 线路 访问 所 属 企业 的 网 络 。 随 着 全 球 化 步 
伐 的 加 快 和 公司 业务 的 增长 , 移动 办 公 人 员 会 越 来 越 多 , 公司 的 客户 关系 也 越 来 越 庞大 ， 
这 样 的 方案 必然 导致 昂贵 的 线路 租用 费 和 长 途 电 话费 。 在 这 种 背景 下 ， 人 们 便 想到 是 否 
可 以 使 用 无 处 不 在 的 Intemet 来 构建 企业 自己 的 专用 网 络 。 这 种 需求 就 导致 了 虚拟 专 网 
(Virtual Private Network，VPN) 概念 的 出 现 。 

采用 VPN 技术 组 网 ， 企 业 可 以 以 一 种 相对 便宜 的 月 付费 方式 上 网 。 然 而 ，Internet 
是 一 个 共享 的 公共 网 络 ， 因 此 不 能 保证 数据 在 两 点 之 间 传 递 时 不 被 他 人 窃取 。 要 想 安全 
地 将 两 个 企业 子 网 连 在 一 起 ， 或 者 确保 移动 办 公 人 员 能 安全 地 远程 访问 公司 内 部 的 秘密 
资源 ， 就 必须 保证 Internet 上 传输 数据 的 安全 ， 并 对 远程 访问 的 移动 用 户 进行 身份 认证 。 


14.1.1 VPN 的 概念 


所 谓 虚拟 专 网 ， 是 指 将 物理 上 分 布 在 不 同 地 点 的 网 络 通 过 公用 网 络 连 接 而 构成 逻辑 
上 的 虚拟 子 网 。 它 采用 认证 、 访 问 控制 、 机 密 性 、 数 据 完整 性 等 安全 机 制 在 公用 网 络 上 
构建 专用 网 络 ， 使 得 数据 通过 安全 的 “加 密 管道 ”在 公用 网 络 中 传播 。 这 里 的 公用 网 通 
常 指 Internet. 

VPN 技术 实现 了 内 部 网 信息 在 公用 信息 网 中 的 传输 ， 就 如 同 在 茫茫 的 广域网 中 为 用 
户 拉 出 一 条 专线 。 对 于 用 户 来 讲 ， 公 用 网 络 起 到 了 “虚拟 ”的 效果 ， 虽 然 他 们 身 处 世界 
的 不 同 地 方 , 但 感觉 仿佛 是 在 同一 个 局 域 网 里 工作 。VPN 对 每 个 使 用 者 来 说 也 是 “专用 ” 
的 。 也 就 是 说 ，VPN 根据 使 用 者 的 身份 和 权限 ， 直 接 将 其 接 入 VPN， 非 法 的 用 户 不 能 接 
入 VPN 并 使 用 其 服务 。 


14.1.2 VPN 的 特点 
在 实际 应 用 中 ， 用 户 需 要 什么 样 的 VPN 呢 ? 好 的 VPN 应 具备 以 下 几 个 特点 。 
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1. 费用 低 
由 于 企业 使 用 Intemet 进行 数据 传输 ， 相 对 于 租用 专线 来 说 ， 费 用 极为 低廉 ， 所 以 
VPN 的 出 现 使 企业 通过 Intemet 既 安 全 又 经 济 地 传输 机 密 信息 成 为 可 能 。 


2. 安全 保障 

虽然 实现 VPN 的 技术 和 方式 很 多 ， 但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平台 所 传 
输 数 据 的 专用 性 和 安全 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连 
接 ， 称 为 建立 了 一 个 隧道 。 经 由 隧道 传输 的 数据 采用 加 密 技 术 进 行 加 密 ， 以 保证 数据 仅 
被 指定 的 发 送 者 和 接收 者 知道 ， 从 而 保证 了 数据 的 专用 性 和 安全 性 。 


3. 服务 质量 保证 (QoS) 

VPN 应 当 能 够 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 不 同 的 用 户 和 业务 对 服务 
质量 (QoS) 保证 的 要 求 差别 较 大 。 例 如 ， 对 于 移动 办 公用 户 来 说 ， 网 络 能 提供 广泛 的 
连接 和 覆盖 性 是 保证 VPN 服务 质量 的 一 个 主要 因素 ; 而 对 于 拥有 众多 分 支 机 构 的 专线 
VPN， 则 要 求 网 络 能 提供 良好 的 稳定 性 ， 其 他 一 些 应 用 (如 视频 等 ) 则 对 网 络 提出 了 更 
明确 的 要 求 , 如 网 络 时 延 及 误 码 率 等 。 所 有 网 络 应 用 均 要 求 VPN 根据 需要 提供 不 同等 级 
的 服务 质量 。 

在 网 络 优化 方面 , 构建 VPN 的 另 一 重要 需求 是 充分 有 效 地 利用 有 限 的 广域网 资源 ， 
为 重要 数据 提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 ， 在 流量 高 
峰 时 可 能 会 引起 网 络 阻塞 ， 产 生 网 络 瓶颈 ， 使 实时 性 要 求 高 的 数据 得 不 到 及 时 发 送 :而 
在 流量 低谷 时 又 造成 大 量 的 网 络 带宽 闲置 。QoS 通过 流量 预测 与 流量 控制 策略 ， 可 以 按 
照 优 先 级 分 配 带宽 资源 ， 实 现 带宽 管理 ， 使 各 类 数据 能 够 被 合理 地 有 序 发 送 ， 并 预防 阻 
塞 的 发 生 。 


4. 可 扩充 性 和 灵活 性 

VPN 必须 能 够 支持 通过 内 域 网 (Intranet) 和 外 联网 (Extranet) 的 任何 类 型 的 数据 
流 、 方 便 增 加 新 的 节点 、 支 持 多 种 类 型 的 传输 媒介 ， 可 以 满足 同时 传输 语音 、 图 像 和 数 
据 对 高 质量 传输 及 带宽 增加 的 需求 。 


5. 可 管理 性 

从 用 户 角度 和 运营 商 角 度 来 看 ， 对 VPN 进行 管理 和 维护 应 该 非常 方便 。 在 VPN 管 
理 方面 ，VPN 要 求 企业 将 其 网 络 管理 功能 从 局 域 网 无 颖 地 延伸 到 公用 网 ， 甚 至 是 客户 和 
合作 伙伴 处 。 虽 然 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ， 企 业 自己 仍 
需要 完成 许多 网 络 管理 任务 。 所 以 ， 一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。VPN 管 
理 系统 的 设计 目标 为 : 降低 网 络 风险 ， 在 设计 上 应 具有 高 扩展 性 、 经 济 性 和 高 可 靠 性 。 
事实 上 ，VPN 管理 系统 的 主要 功能 包括 安全 管理 、 设 备 管理 、 配 置 管理 、 访 问 控制 列表 
管理 、QoS 管理 等 内 容 。 


14.1.3 VPN 的 分 类 
根据 VPN 组 网 方式 连接 方式 、 访 问 方式 隧道 协议 和 工作 层次 (OSI 模 型 或 TCP/IP 
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模型 ) 的 不 同 ,VPN 可 以 有 多 种 分 类 方法 。 根据 访问 方式 的 不 同 , VPN 可 分 为 两 种 类 型 : 
一 种 是 移动 用 户 远 程 访问 VPN 连接 ; 另 一 种 是 网 关 - 网 关 VPN 连接 。 这 两 种 VPN 将 在 
本 节 中 做 简单 介绍 。 根 据 隧道 协议 及 工作 层次 分 类 的 VPN, KE 14.3 节 中 详细 阐述 。 


1. 远程 访问 VPN 

移动 用 户 远 程 访问 VPN 连接 ， 由 远程 访问 的 客户 机 提出 连接 请 求 ，VPN 服务 器 提 
供 对 VPN 服务 器 或 整个 网 络 资源 的 访问 服务 。 在 此 连接 中 , 链 路 上 第 一 个 数据 包 总 是 由 
远程 访问 客户 机 发 出 。 远 程 访问 客户 机 先 向 VPN 服务 器 提供 自己 的 身份 , 之 后 作为 双向 
认证 的 第 二 步 ，VPN 服务 器 也 向 客户 机 提供 自己 的 身份 。 


2. 网 关 - 网 关 VPN 

网 关 -网 关 VPN 连接 ， 由 呼叫 网 关 提出 连接 请 求 ， 另 一 端的 VPN 网 关 做 出 响应 。 在 
这 种 方式 中 ， 链 路 的 两 端 分 别 是 专用 网 络 的 两 个 不 同 部 分 ， 来 自 呼 叫 网 关 的 数据 包 通 常 
并 非 源 自 该 网 关 本 身 ， 而 是 来 自 其 内 网 的 子 网 主机 。 呼 叫 网 关 首 先 向 应 答 网 关 提 供 自己 
的 身份 ， 作 为 双向 认证 的 第 二 步 ， 应 答 网 关 也 应 向 呼叫 网 关 提 供 自己 的 身份 。 

一 个 典型 VPN 的 组 成 如 图 14-1 所 示 。 


VPN 隧 道 VPN 连 接 
SS 
Se VPN Pf 


VPN 网 关 
(a) 移动 用 户 远程 访问 VPN 


VPN 隧 道 VPN 连 接 
(i 
Sas 


VPK 网 a 
MX (网 关 -网 关 VPN 连 接 。 YPN 网 关 


14-1 典型 VPN 的 组 成 


14.1.4 VPN 关键 技术 


VPN 采用 多 种 技术 来 保证 安全 ， 这 些 技术 包括 隧道 技术 〈Tunneling )、 加 /解密 
(Encryption & Decryption )、 密 钥 管理 (Key Management)、 使 用 者 与 设备 身份 认证 
(Authentication)、 访 问 控制 (Access Control) 等 。 


1. 隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ， 它 在 公用 网 上 建立 一 条 数据 通道 (隧道 )， 让 数据 包 
通过 这 条 隧道 进行 传输 。 隧 道 是 由 隧道 协议 构建 的 ， 常 用 的 有 第 2、3 层 隧道 协议 。 第 2 
层 隧道 协议 首先 把 各 种 网 络 协议 封装 到 PPP 中 ， 再 把 整个 数据 包装 入 隧道 协议 中 。 这 种 
双 层 封装 方法 形成 的 数据 包 靠 第 2 层 协议 进行 传输 。 第 2 层 隧道 协议 有 L2F、PPTP、L2TP 
等 。L2TP 是 由 PPTP 与 L2F 融合 而 成 ， 目 前 它 已 经 成 为 IETF 的 标准 。 

第 3 层 隧 道 协议 把 各 种 网 络 协 议 直 接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依靠 第 3 层 协 
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议 进行 传输 。 第 3 层 隧 道 协议 有 GRE, VIP. IPSec 等 。IPSec (IP Security) 是 由 一 组 
RFC 文档 描述 的 安全 协议 ， 它 定义 了 一 个 系统 来 选择 VPN 所 用 的 密码 算法 ， 确 定 服务 
所 使 用 密 钥 等 服务 ， 从 而 在 IP 层 提供 安全 保障 。 


2. 加 /解密 技术 

在 VPN 应 用 中 ， 加 /解密 技术 是 将 认证 信息 、 通 信 数 据 等 由 明文 转换 为 密 文 的 相关 
技术 ， 其 可 靠 性 主要 取决 于 加 /解密 的 算法 及 强度 ， 这 部 分 内 容 在 密码 学 课程 中 有 详细 
介绍 。 


3. 密 钥 管 理 技术 

密 钥 管理 的 主要 任务 是 保证 密 钥 在 公用 数据 网 上 安全 地 传递 而 不 被 窃取 。 现 行 的 密 
钥 管理 技术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。 SKIP 主要 利用 Diffie-Hellman 密 钥 
分 配 协议 ， 使 通信 双方 建立 起 共享 密 钥 。 在 ISAKMP 中 ， 双 方 都 持 有 两 把 密 铀 ， 即 公 
钥 / 私 钥 对 ， 通 过 执行 相应 的 密 钥 交换 协议 而 建立 共享 密 钥 。 


4. 身份 认证 技术 

在 正式 的 隧道 连接 开始 之 前 ，VPN 需要 确认 用 户 的 身份 ， 以 便 系统 进一步 实施 资源 
访问 控制 或 对 用 户 授 权 。 

5. 访问 控制 

访问 控制 决定 了 谁 能 够 访问 系统 、 能 访问 系统 的 何 种 资源 及 如 何 使 用 这 些 资源 。 采 
取 适 当 的 访问 控制 措施 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 ， 或 者 非法 访问 
系统 资源 等 。 


1442 ”隧道 协议 与 VPN 


通常 ， 隧 道 是 指 为 修建 公路 或 铁路 ， 挖 通 山 敬 而 形成 的 通道 。VPN 的 隧道 概念 指 的 
是 通过 一 个 公用 网 络 GHA E Intemet) 建立 的 一 条 穿 过 公用 网 络 的 安全 的 、 逻 辑 上 的 隧 
道 。 在 隧道 中 ， 数 据 包 被 重新 封装 发 送 。 所 谓 封 装 ， 就 是 在 原 卫 分 组 上 添加 新 的 报头 ， 
就 好 像 将 数据 包装 进 信封 一 样 。 因 此 ， 封 装 操作 也 称 为 P 封装 化 。 总 部 和 分 公司 之 间 交 
流 信息 时 所 传递 的 数据 ， 经 过 VPN 设备 封装 后 通过 Internet 自动 发 往 对 方 的 VPN 设备 。 
这 种 在 VPN 设备 之 间 建 立 的 封装 化 数据 的 IP 通信 路 径 在 逻辑 上 被 称 为 隧道 。 发 端 VPN 
在 对 人 PP 数据 包 前 加 新 报头 封装 后 ， 将 封装 后 的 数据 包 通 过 Internet 发 送 给 收 端 VPN。 收 
bin VPN 在 接收 到 封装 数据 包 后 ,将 隧道 标 头 删除 ， 再 发 给 目标 主机 。 数 据 包 在 隧道 中 的 
封装 及 发 送 过 程 如 图 14-2 所 示 。 

隧道 封装 和 加 密 方式 多 种 多 样 。 一 般 来 说 ,只 对 数据 加 密 的 通信 路 径 不 能 称 为 隧道 。 
在 一 个 数据 包 上 再 添加 一 个 报头 才 称 做 封装 化 。 是 否 对 封装 的 数据 包 加 密 取 决 于 隧道 协 
议 。 例 如 ，IPSec 的 ESP 是 加 密封 装 化 协议 ， 而 L2TP 则 不 对 分 组 加 密 ， 保 持原 样 进 行 
封装 。 
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图 14-2 ”数据 包 在 隧道 中 的 封装 及 发 送 过 程 


现 有 的 封装 协议 主要 包括 两 类 : 一 类 是 第 2 层 的 隧道 协议 ， 由 于 隧道 协议 是 对 数据 
链 路 层 的 数据 包 进 行 封装 〈 即 OSI 开放 系统 互 连 模型 中 第 2 层 的 数据 包 )， 所 以 称 其 为 
第 2 层 隧道 协议 ， 这 类 协议 包括 PPTP、L2TP、L2F 等 ， 主 要 用 于 构建 远程 访问 VPN; 
另 一 类 是 第 3 层 隧道 协议 ， 如 IPSec、GRE 等 ， 它 们 把 网 络 层 的 各 种 协议 数据 包 直 接 封 
装 到 隧道 协议 中 进行 传输 ， 由 于 被 封装 的 是 第 3 层 的 网 络 协议 数据 包 ， 所 以 称 为 第 3 层 
隧道 协议 ， 它 主要 用 于 构建 LAN-to-LAN 型 的 VPN. 


14.2.1 第 2 层 隧道 协议 


第 2 层 隧 道 协议 主要 有 3 个 : 一 个 是 由 微软 、Asend、3COM 等 公司 支持 的 点 对 点 
隧道 协议 (Point to Point Tunneling Protocol, PPTP); 另 一 个 是 Cisco, Nortel 等 公司 支持 
的 第 2 层 转发 (Layer 2 Forwarding, L2F) 协议 ;第 三 个 是 由 IETF 起 草 ， 微 软 、Cisco、 
3COM 等 公司 共同 制定 的 第 2 层 隧 道 协议 (Layer 2 Tunneling Protocol，L2TP)， 该 协议 
结合 了 以 上 两 个 协议 的 优点 。 下 面 对 这 3 个 协议 进行 简要 介绍 。 

1. PPTP 

PPTP 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 ISP、 通 过 Intenet 安全 远程 访问 公司 
网 络 资源 的 新 技术 。PPTP 对 PPP 本 身 并 没有 做 任何 修改 ， 只 是 使 用 PPP 拨号 连接 ， 然 
后 获取 这 些 PPP 包 ， 并 把 它们 封装 进 GRE AP. PPTP 使 用 PPP 的 PAP 或 CHAP 
(MS-CHAP) 进行 认证 ， 另 外 也 支持 Microsoft 公司 的 点 到 点 加 密 技术 (MPPE) 。PPTP 
支持 的 是 一 种 Client-LAN 型 隧道 的 VPN 实现 。 

PPTP 具有 两 种 不 同 的 工作 模式 ， 即 被 动 模式 和 主动 模式 。 被 动 模式 的 PPTP 会 话 通 
过 一 个 一 般 位 于 ISP 处 的 前 端 处 理 器 发 起 ， 在 客户 端 不 需要 安装 任何 与 PPTP 有 关 的 软 
件 。 在 拨号 连接 到 ISP 的 过 程 中 ，ISP 为 用 户 提供 所 有 相应 的 服务 和 帮助 。 被 动 方 式 的 
优点 是 降低 了 对 客户 的 要 求 ， 缺 点 是 限制 了 客户 对 Internet 其 他 部 分 的 访问 。 

主动 方式 是 由 客户 建立 一 个 与 网 络 另外 一 端 服务 器 直接 连接 的 PPTP 隧道 ， 这 种 方 
式 不 需要 IS 的 参与 ， 不 再 需要 位 于 ISP 处 的 前 端 处 理 器 ，ISP 只 提供 透明 的 传输 通道 。 
这 种 方式 的 优点 是 客户 拥有 对 PPTP 的 绝对 控制 ， 缺 点 是 对 用 户 的 要 求 较 高 ， 并 需要 在 
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客户 端 安装 支持 PPTP 的 相应 软件 。 

通过 PPTP， 远 程 用 户 经 由 Intemet 访问 企业 的 网 络 和 应 用 ， 而 不 再 需要 直接 拨号 至 
企业 的 网 络 。 这 样 大 大 地 减少 了 建立 和 维护 专用 远程 线路 的 费用 ， 同 时 也 为 企业 提供 了 
充分 的 安全 保证 。 另 外 ，PPTP 还 在 IP 网 络 中 支持 人 P 协议 。PPTP“ 隧 道 ” 将 IP, IPX, 
APPLE-TALK 等 协议 封装 在 IP 包 中 ， 使 用 户 能 够 运行 基于 特定 网 络 协议 的 应 用 程序 。 
同时 ， “隧道 ”采用 现 有 的 安全 检测 和 认证 策略 ， 还 允许 管理 员 和 用 户 对 数据 进行 加 密 ， 
使 数据 更 加 安全 。PPTP 还 提供 灵活 的 IP 地 址 管理 。 如 果 企 业 专用 网 络 使 用 未 经 注册 的 
IP 地 址 ， 那 么 PNS 将 把 此 地 址 和 企业 专用 地 址 联系 起 来 。 

PPTP 是 为 中 小 企业 提供 的 VPN 解决 方案 ,但 此 协议 在 实现 上 存在 着 重大 安全 隐患 。 
有 研究 表明 其 安全 性 甚至 比 PPP 还 要 弱 ， 因 此 不 适用 于 对 安全 性 需求 很 高 的 通信 。 如 果 
条 件 允 许 ， 用 户 最 好 选择 完全 能 够 蔡 代 PPTP 的 下 一 代 二 层 协 议 L2TP。 


2. L2F 

L2F 协议 由 Cisco 公司 在 1998 年 5 月 提交 给 IETF, RFC2341 对 L2F 有 详细 的 阐述 。 
L2F 可 以 在 多 种 介质 〈 如 AMT、 帧 中 继 、IP 网 ) 上 建立 多 协议 的 安全 虚拟 专用 网 ， 它 将 
链 路 层 的 协议 (如 HDLC，PPP，ASYNC 等 ) 封装 起 来 传送 。 因 此 ， 网 络 的 链 路 层 完全 
独立 于 用 户 的 链 路 层 协议 。L2F 远程 用 户 能 够 通过 任何 拨号 方式 接 入 公共 P 网 络 。 首先 ， 
按 常 规 方式 拨号 到 ISP 的 接 入 服务 器 (NAS)， 建 立 PPP 连接 ， 然 后 ，NAS 根据 用 户 名 
等 信息 ， 发 起 第 二 重 连接 ， 呼 叫 用 户 网 络 的 服务 器 。 在 这 种 方式 下 ， 隧 道 的 建立 和 配置 
对 用 户 是 完全 透明 的 。L2F 允许 拨号 接 入 服务 器 发 送 PPP W, 并 通过 WAN 连接 到 达 L2F 
服务 器 。L2F 服务 器 将 包 解 封装 后 ， 把 远程 用 户 接 入 到 公司 自己 的 网 络 中 。 


3. L2TP 

L2TP 的 前 身 是 Microsoft 公司 的 点 到 点 隧道 协议 (PPTP) 和 Cisco 公司 的 二 层 转 发 
(L2F) 协议 。PPTP 是 为 中 小 企业 提供 的 VPN 解决 方案 ， 但 此 协议 在 安全 性 上 存在 着 重 
大 隐患 。L2F 协议 是 一 种 安全 通信 隧道 协议 ， 它 的 主要 缺陷 是 没有 把 标准 加 密 算 法 定义 
在 内 ， 因 此 它 已 成 为 过 时 的 隧道 协议 。IETF 的 开放 标准 L2TP 结合 了 PPTP 和 L2F 协议 
的 优点 ， 特 别 适 合 组 建 远程 接 入 方式 的 VPN， 因 此 已 经 成 为 事实 上 的 工业 标准 。 

远程 拨号 的 用 户 通 过 本 地 PSTN, ISDN 或 PLMN 拨号 ， 利 用 ISP 提供 的 VPDN 特 
ARS, PRA ISP 在 当地 的 接 入 服务 器 (NAS)。NAS 通过 当地 的 VPDN 管理 系统 (如 认 
证 系统 ) 对 用 户 身份 进行 认证 ， 并 获得 用 户 对 应 的 企业 安全 网 关 (CPE) 的 隧道 属性 (如 
企业 网 关 的 IP 地 址 等 )。 NAS 根据 获得 的 这 些 信 息 , 采用 适当 的 隧道 协议 封装 上 层 协 议 ， 
建立 一 个 位 于 NAS 和 LNS 〈 本 地 网 络 服务 器 ) 之 间 的 虚拟 专 网 。 

第 2 层 隧 道 协议 具有 简单 易 行 的 优点 ， 但 是 它们 的 可 扩展 性 都 不 好 。 更 重要 的 是 ， 
它们 没有 提供 内 在 的 安全 机 制 ， 不 能 支持 企业 和 企业 的 外 部 客户 及 供应 商 之 间 会 话 的 保 
密 性 需求 。 因 此 ， 当 企业 欲 将 其 内 部 网 与 外 部 客户 及 供应 商 网 络 相连 时 ， 第 2 层 隧道 协 
议 不 支持 构建 企业 外 域 网 (Extranet)。Extranet 需要 对 隧道 进行 加 密 并 需要 相应 的 密 钥 管 
理 机 制 。 
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1422 #3 层 障 道 协议 


第 3 层 隧道 协议 主要 包括 IPSec, GRE (Generic Routing Encapsulation) 和 多 协议 标 
记 交 换 (Multiprotocol Label Switching, MPLS) 技术 。 由 这 3 种 协议 和 技术 构建 的 VPN 
分 别称 为 IPSec VPN、GRE VPN 和 MPLS VPN。 

下 面 分 别 对 这 3 种 VPN 协议 和 技术 做 简要 介绍 。 


1. IPSec 

IPSec 是 专 为 卫 设计 提供 安全 服务 的 一 种 协议 (其 实 是 一 种 协议 族 )。IPSec 可 有 效 
保护 IP 数据 报 的 安全 ， 具体 保护 形式 包括 数据 源 验证 、 无 连接 数据 的 完整 性 验证 、 数 据 
内 容 的 机 密 性 保护 、 抗 重 放 保 护 等 。 

IPSec 主要 由 AH (认证 头 )、ESP 封装 安全 载荷 )、IKE Cinternet 密 钥 交换 ) 3 个 
协议 组 成 。IPSec 协议 既 能 用 于 点 对 点 连接 型 VPN， 也 可 以 用 于 远程 访问 型 VPN. 

在 14.3 节 中 ， 将 对 IPSec VPN 进行 深入 讨论 。 


2. GRE 

通用 路 由 协议 封装 (GRE) 是 由 Cisco 和 NetSmiths 等 公司 于 1994 年 提交 给 IETF 
的 协议 , 标号 为 RFC1701 和 RFC1702。 目前 多 数 厂商 的 网 络 设备 均 支 持 GER 隧道 协议 。 

GRE 规定 了 如 何 用 一 种 网 络 协议 去 封装 另 一 种 网 络 协议 的 方法 ,GRE 隧道 由 两 端的 
源 全 和 目的 他 来 定义 ， 允 许 用 户 使 用 他 包 封装 人 P、IPX、AppleTalk 包 ， 并 支持 全 部 路 
由 协议 (如 RIP2、OSPF 等 )。 通 过 GRE, 用 户 可 以 利用 公共 他 网 络 连 接 IPX 网 络 、AppleTalk 
网 络 ， 还 可 以 使 用 保留 地 址 进行 网 络 互 连 ， 或 者 对 公 网 隐藏 企业 网 的 IP 地 址 。GRE 只 
提供 数据 包 的 封装 ， 并 没有 采用 加 密 功能 来 防止 网 络 侦 听 和 攻击 ， 所 以 在 实际 环境 中 经 
常 与 IPSec 一 起 使 用 ， 由 IPSec 提供 用 户 数据 的 加 密 ， 从 而 给 用 户 提供 更 好 的 安全 性 。 
GRE 的 实施 策略 及 网 络 结构 与 IPSec 非常 相似 ， 只 要 网 络 边缘 的 接 入 设备 支持 GRE 协 
议 即 可 。 

3. MPLS 

MPLS 属于 第 3 层 交 换 技术 ， 引 入 了 基于 标记 的 机 制 。 它 把 选 路 和 转发 分 开 ， 用 标 
签 来 规定 一 个 分 组 通过 网 络 的 路 径 。MPLS 网 络 由 核心 部 分 的 标签 交换 路 由 器 (LSR) 
和 边缘 部 分 的 标签 边缘 路 由 器 (LER) 组 成 。 

MPLS 为 每 个 他 包 加 上 一 个 固定 长 度 的 标签 ， 并 根据 标签 值 转发 数据 包 。MPLS X 
际 上 就 是 一 种 隧道 技术 ， 所 以 使 用 它 来 建立 VPN 隧道 十 分 容易 。 同 时 ，MPLS 是 一 种 完 
备 的 网 络 技术 ， 可 以 用 来 建立 VPN 成 员 之 间 简 单 而 高 效 的 VPN. MPLS VPN 适用 于 实 
现 对 服务 质量 、 服 务 等 级 的 划分 及 网 络 资源 的 利用 率 、 网 络 的 可 靠 性 有 较 高 要 求 的 VPN 
业务 。 

CE 路 由 器 用 于 将 一 个 用 户 站 点 接 入 服务 提供 者 网 络 的 用 户 边 缘 路 由 器 。CE 路 由 器 
不 使 用 MPLS， 它 可 以 只 是 一 台 IP 路 由 器 。CE 不 必 支 持 任何 VPN 的 特定 路 由 协议 或 
信 令 。 

PE 路 由 器 是 与 用 户 CE 路 由 器 相连 的 服务 提供 者 边缘 路 由 器 .PE 实际 上 就 是 MPLS 
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中 的 边缘 标记 交换 路 由 器 (LER)， 能 够 支持 BGP、 一 种 或 几 种 IGP 路 由 协议 及 MPLS 
协议 ， 能 够 执行 一 包 检 查 、 协 议 转换 等 功能 。 

用 户 站 点 指 这 样 一 组 网 络 或 子 网 ， 它 们 是 用 户 网 络 的 一 部 分 ， 并 且 通 过 一 条 或 多 条 
PE/CE 链 路 接 至 VPN. 一 组 共享 相同 路 由 信息 的 站 点 就 构成 了 VPN。 一 个 站 点 可 以 同时 
位 于 不 同 的 几 个 VPN 之 中 。 

从 MPLS VPN 网 络 的 结构 可 以 看 到 ， 与 前 几 种 VPN 技术 不 同 ，MPLS VPN 网 络 中 
的 主角 虽然 仍然 是 边缘 路 由 器 (此 时 是 MPLS 网 络 的 边缘 LSR)， 但 是 它 需 要 公共 卫 网 
内 部 的 所 有 相关 路 由 都 能 够 支持 MPLS， 所 以 这 种 技术 对 网 络 有 特殊 的 要 求 。 

VPN 有 多 种 类 型 , 本 书 将 主要 讨论 IPSec VPN. PPTP VPN, SSL VPN 和 MPLS VPN. 
SSL VPN 也 称 做 传输 层 安全 (Transport Layer Security, TLS) 协议 VPN。 之 所 以 讨论 这 
26 VPN, 是 因为 它们 的 应 用 最 为 广泛 ,由 于 PPTP VPN 和 MPLS VPN 的 安全 性 相对 较 低 ， 
所 以 这 里 将 重点 讨论 IPSec VPN 和 TLS VPN， 而 对 PPTP VPN 和 MPLS VPN 原理 只 做 
简要 的 阐述 。 
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14.3.1 IPSec 协议 概述 


IPSec 在 IPv6 的 制定 过 程 中 产生 ， 用 于 提供 IP 层 的 安全 性 。 由 于 所 有 支持 TCP/IP 
的 主机 在 进行 通信 时 都 要 经 过 IP 层 的 处 理 ， 所 以 提供 了 IP 层 的 安全 性 就 相当 于 为 整个 
网 络 提供 了 安全 通信 的 基础 。 鉴 于 IPv4 的 应 用 仍然 很 广泛 ， 所 以 后 来 在 IPSec 的 制定 中 
也 增添 了 对 IPv4 的 支持 。 
IPSec 标准 最 初 由 IETF 于 1995 年 制定 , 但 由 于 其 中 存在 一 些 未 解决 的 问题 , 从 1997 
年 开始 IETF 又 开展 了 新 一 轮 的 IPSec 标准 的 制定 工作 ，1998 年 11 月 ， 主 要 协议 已 经 基 
本 制定 完成 。 由 于 这 组 新 的 协议 仍然 存在 一 些 问题 ，IETF 将 来 还 会 对 其 进行 修订 。 
IPSec 所 涉及 的 一 系列 RFC 标准 文档 如 下 。 
RFC2401: IPSec 系统 结构 。 
RFC2402: 认证 首部 协议 (AH). 
RFC2406: 封装 净 荷 安全 协议 (ESP)。 
RFC2408: Internet 安全 联盟 和 密 钥 管理 协议 (ISAKMP)。 
RFC2409: Internet 密 钥 交换 协议 (IKE). 
RFC2764: 基本 框架 文档 。 
RFC2631: Diffie-Hellman 密 钥 协商 方案 。 
SKEME。 
在 后 面 的 讨论 中 ， 重 点 将 放 在 ESP 的 保密 性 和 完整 性 方面 。 
IPSec 协议 由 AH 和 ESP 提供 了 两 种 工作 模式 (注意 ， 切 勿 将 它们 和 下 文 要 讨论 的 
ISAKMP 模式 相 混淆 )， 如 图 14-3 所 示 。 这 两 个 协议 可 以 组 合 起 来 使 用 ， 也 可 以 单独 使 
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用 AH 或 ESP， 还 可 以 同时 使 用 AH 和 ESP。IPSec 的 功能 和 模式 如 表 14-1 所 示 。 


传 输 模 式 隧道 模式 
AH 认证 TCP 、UDP 或 ICMP 首 部 和 数据 认证 IP 首 部 和 数据 
由 AH 认证 。 由 AH 认证 
P | AH | TOP 用 户 新 的 IP| AH | 卓 的 下 | TCP | 用 户 
首部 首部 | 数据 首部 首部 | 首部 | 数据 
ESP 封装 TCP 、UDP 或 ICMP 首 部 和 数据 封装 也 首部 和 数据 
由 ESP 封 装 由 ESP 封 装 | 
P |. TCP | 用 户 | ESP | ESP ai ‘ip Hed ESP | ESP 
首部 ESP 首部 auth ESP = auth 
由 ESP auth 认 证 i 由 ESP — 


图 14-3 IPSec 协议 的 构成 


AH, ESP 或 AH+ESP 既 可 以 在 隧道 模式 中 使 用 ， 又 可 以 在 传输 模式 中 使 用 。 隧 道 
模式 在 两 个 IP 子 网 之 间 建 立 一 个 安全 通道 , 允许 每 个 子 网 中 的 所 有 主机 用 户 访问 对 方 子 
网 中 的 所 有 服务 和 主机 。 传 输 模 式 在 两 个 主机 之 间 以 端 对 端的 方法 提供 安全 通道 ， 并 且 
在 整个 通信 路 径 的 建立 和 数据 的 传递 过 程 中 采用 了 身份 认证 、 数 据 保密 性 和 数据 完整 性 等 安 
全 保护 措施 。 

表 14-1 IPSec 的 功能 和 模式 


功能 /模式 ESP+AH 
访问 控制 Yes 
认证 | ves | = Yes 
merme | xs | 一 | Yes 
重 放 保护 
机 密 性 


14.3.2 IPSec 的 工作 原理 


IPSec 的 工作 原理 类 似 于 包 过 滤 防 火 墙 ， 可 以 把 它 看 做 是 包 过 滤 防 火 墙 的 一 种 扩展 。 
我 们 知道 ， 防 火 墙 在 接收 到 一 个 卫 数据 包 时 ， 它 就 在 规则 表 中 查找 是 否 有 与 数据 包 的 头 
部 相 匹配 的 规则 。 当 找到 一 个 相 匹配 的 规则 时 ， 包 过 滤 防 火 墙 就 按照 该 规则 的 要 求 对接 
收 到 的 IP 数据 包 进行 处 理 : 丢弃 或 转发 。 

IPSec 通过 查询 安全 策略 数据 库 〈Security Policy Database, SPD) 决定 如 何 对 接收 
到 的 IP 数据 包 进行 处 理 。 但 是 IPSec 与 包 过 滤 防 火 墙 不 同 ， 它 对 IP 数据 包 的 处 理 方法 
除了 丢弃 和 直接 转发 ( 绕 过 IPSec) 外 ， 还 可 以 对 数据 包 进 行 IPSec 处 理 。 正 是 这 种 新 增 
添 的 处 理 方法 ， 使 VPN 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 。 

进行 IPSec 处 理 意味 着 对 IP 数据 包 进行 加 密 和 认证 。 包 过 滤 防 火 墙 只 能 控制 来 自 或 
去 往 某 个 站 点 的 人 P 数据 包 的 通过 ， 即 它 可 以 拒绝 来 自 某 个 外 部 站 点 的 IP 数据 包 访 问 内 
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部 网 络 资源 ， 也 可 以 拒绝 某 个 内 部 网 络 用 户 访问 某 些 外 部 网 站 。 但 是 包 过 滤 防 火 墙 不 能 
保证 自 内 部 网 络 发 出 的 数据 包 不 被 截取 ， 也 不 能 保证 进入 内 部 网 络 的 数据 包 未 经 算 改 。 
只 有 在 对 卫 数据 包 实 施 了 加 密 和 认证 后 , 才能 保证 在 公用 网 络 上 传输 数据 的 机 密 性 、 认 
证 性 和 完整 性 。 

IPSec 既 可 以 对 IP 数据 包 只 进行 加 密 或 认证 ， 也 可 以 同时 实施 加 密 和 认证 。 但 无 论 
是 进行 加 密 还 是 进行 认证 ，IPSec 都 有 两 种 工作 模式 : 一 种 是 传输 模式 ， 另 一 种 是 隧道 
模式 。 

采用 传输 模式 时 ，IPSec 只 对 IP 数据 包 的 净 荷 进行 加 密 或 认证 。 此 时 ， 封 装 数据 包 
继续 使 用 原 IP 头 部 ， 只 对 IP 头 部 的 部 分 域 进行 修改 ， 而 IPSec 协议 头 部 插入 到 原 IP 头 
部 和 传输 层 头 部 之 间 。IPSec 传输 模式 如 图 14-4 和 图 14-5 所 示 。 


原 IP 头 TcPiupP 头 数据 内 容 
| 


TCPUDP 关 | 到 所 内容 
图 14-4 ”传输 模式 的 ESP 封装 示意 图 


原 IP 头 TCP/UDP | 数据 内 容 


原 IP 头 AH 头 TCP/UDP | 数据 内 容 
图 14-5 ”传输 模式 的 AH 封装 示意 图 

采用 隧道 模式 时 ，IPSec 对 整个 IP 数据 包 进行 加 密 或 认证 。 此 时 ， 需 要 产生 一 个 新 

的 IP 头 ，IPSec 头 被 放 在 新 产生 的 耳 Sk A IP 数据 包 之 间 ， 从 而 组 成 一 个 新 的 卫 头 。 

IPSec 隧道 模式 如 图 14-6 和 图 14-7 所 示 。 
原 IP 头 ”| TCP/UDP 头 | 数据 内 容 
1 1 
新 PP 头 | ESP | JUP% | TCP/UDP 头 | 数据 内 容 | ESPE 
14-6 IPSec 隧道 模式 的 ESP 封装 示意 图 

[mex | TCPUDP 头 | 数据 内 容 


He | ARE] mex | TCP/JDP 头 | 数据 内 容 
图 14-7 IPSec 隧道 模式 的 AH 封装 示意 图 


14.3.3 IPSec 中 的 主要 协议 


前 面 已 经 提 到 IPSec 的 主要 功能 为 加 密 和 认证 。 为 了 进行 加 密 和 认证 , IPSec 还 需要 
有 密 钥 的 管理 和 交换 功能 ， 以 便 为 加 密 和 认证 提供 所 需要 的 密 钥 并 对 密 钥 的 使 用 进行 管 
理 。 以 上 3 方面 的 工作 分 别 由 AH、ESP 和 IKE 3 个 协议 来 实现 。 为 了 介绍 这 3 个 协议 ， 
需要 先 引入 一 个 非常 重要 的 术语 安全 关联 (Security Association，SA)。 所 谓 安 全 关 
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联 ， 是 指 安全 服务 与 它 服务 的 载体 之 间 的 一 个 “连接 ”， 文 中 还 会 详细 讨论 SA。AH 和 
ESP 的 实现 都 需要 SA 的 支持 ， 而 IKE 的 主要 功能 就 是 建立 和 维护 SA。 

如 果 要 用 IPSec 建立 一 条 安全 的 传输 通路 ， 通 信 双 方 需要 事先 协商 好 将 要 采用 的 安 
全 策略 ， 包 括 使 用 的 加 密 算法 、 密 钥 、 密 钥 的 生存 期 等 。 当 双方 协商 好 使 用 的 安全 策略 
后 ， 通 常 就 说 双方 建立 了 一 个 SA。 给 定 了 一 个 SA， 就 确定 了 IPSec 要 执行 的 处 理 ， 如 
加 密 、 认 证 等 。 


1. AH (Authentication Header) 

RFC2402 的 作者 设计 了 AH 协议 来 防御 中 间 人 攻击 。RFC2402 对 AH 协议 进行 了 极 
为 详细 的 定义 ， 将 AH 服务 定义 如 下 : 

。 非 连接 的 数据 完整 性 校 验 。 

e 数据 源 点 认证 。 

e 可 选 的 抗 重 放 服 务 。 

AH 有 两 种 实现 方式 : 传输 方式 和 隧道 方式 ， 如 图 14-5 和 图 14-7 所 示 。 当 AH 以 传 
输 方式 实现 时 ， 它 主要 提供 对 高 层 协议 的 保护 ， 因 为 高 层 的 数据 不 进行 加 密 。 当 AH 以 
隧道 方式 实现 时 ， 协 议 被 应 用 于 通过 隧道 的 他 数据 包 。 

AH 只 涉及 认证 , 不 涉及 加 密 。AH 虽然 在 功能 上 与 ESP 有 重复 之 处 , 但 AH 除了 可 
以 对 了 人 P 的 净 荷 进行 认证 外 ， 还 可 以 对 全 头 实施 认证 ， 而 ESP 的 认证 功能 主要 是 面向 人 P 
的 净 荷 。 为 了 提供 最 基本 的 功能 并 保证 互 操作 性 , AH 必须 提供 对 HMAC SHA 和 HMAC 
MD-5 (HMAC 是 由 杂凑 函数 SHA 和 MD-5 构造 的 消息 认证 码 ) 的 支持 。 

AH 的 长 度 是 可 变 的， 但 必须 是 32b 数据 报 长 
度 的 倍数 。AH 域 被 细 分 为 几 个子 域 ， 其 中 包含 为 
IP WE 高 屋 域 数据 包 提 供 密码 保护 所 需 的 数据 ， 如 图 14-8 

不 。 
数据 源 点 认证 是 IPSec 的 强制 性 服务 ， 它 实际 
下 一 个 头 af g 留 以 后 使 用 上 提供 了 对 源 点 身份 数据 的 完整 性 保护 。 提 供 该 保 


(8b) (16b) E 
EEE EN 护 所 需 的 数据 包含 在 AH 的 两 个 子 域 中 ， 一 个 子 域 


IP 数 据 包 中 被 加 密 保护 的 部 分 
pea 


序列 号 域 (32b) 称 为 “安全 参数 索引 ”(Security Parameters Index, 
认证 数据 (32b 分 组 的 倍数 ) SPI), 包含 长 32b 的 某 个 任意 值 ， 用 于 唯一 标识 该 
图 14-8 认证 头 的 结构 及 其 在 他 IP 数据 包 认证 服务 所 采用 的 密码 算法 ; 另 一 个 子 域 
数据 包 中 的 位 置 称 为 “认证 数据 ?， 包 含 消 息 发 送 方 为 接收 方 生成 


的 认证 数据 ， 用 于 接收 方 进行 数据 完整 性 验证 ， 
此 这 部 分 数据 也 被 称 为 完整 性 校 验 值 (Integrity Check Value，ICV)。 该 卫 数据 包 的 接收 
方 能 够 使 用 密 钥 和 SPI 所 标识 的 算法 重新 生成 “认证 数据 ” 然后 将 其 与 接收 到 的 “认证 
数据 ” 相 比 较 ， 从 而 完成 ICV 校 验 。 
AH 还 有 一 个 “序列 号 ” 子 域 ， 用 来 抵御 IP 数据 包 重 放 攻 击 。AH 的 其 他 子 域 ( 包 
括 “ 下 一 个 头 ”““ 载 荷 长 度 ” 和 “保留 以 后 使 用 ”) 都 没有 安全 方面 的 意义 ， 因 此 这 里 不 
对 它们 进行 讨论 。 
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2. ESP 

ESP (Encapsulating Security Payload) 协议 主要 用 于 对 IP 数据 包 进行 加 密 ， 此 外 也 
对 认证 提供 某 种 程度 的 支持 。ESP 独立 于 具体 的 加 密 算 法 ， 几 乎 可 以 支持 各 种 对 称 密 铀 
加 密 算法 ， 如 DES. TripleDES 和 RCS 等 。 为 了 保证 各 种 IPSec 实现 之 间 的 互 操作 性 ， 
目前 要 求 ESP 必须 支持 56b 密 钥 长 度 的 DES 算法 。 

ESP 的 格式 如 图 14-9 Aras. ESP 协议 数据 单元 格式 由 3 部 分 组 成 ， 除 了 头 部 、 加 密 
数据 部 分 外 ， 在 实施 认证 时 还 包含 一 个 可 选 尾部 。 头 部 有 两 个 域 : 安全 参数 索引 (SPD 
和 序列 号 〈Sequence Number) W. EH ESP 进行 安全 通信 之 前 ， 通 信 双 方 需要 先 协商 
好 一 组 将 要 采用 的 加 密 策略 ， 包 括 所 使 用 的 加 密 算法 、 密 钥 及 密 钥 的 有 效 期 等 。SPI 用 
来 标识 发 送 方 在 处 理 IP 数据 包 时 使 用 了 哪 组 加 密 策略 , 当 接 收 方 看 到 了 这 个 标识 后 就 知 
道 如 何 处 理 收 到 的 IP 数据 包 。“ 序 列 号 ”用 来 区 分 使 用 同一 组 加 密 策略 的 不 同 数据 包 。 
被 加 密 的 数据 部 分 除了 包含 原 IP 数据 包 的 净 荷 外 ,还 包括 填充 数据 。 填 充 数据 是 为 了 保 
证 加 密 数 据 部 分 的 长 度 满足 分 组 加 密 算法 的 要 求 ,这 两 部 分 数据 在 传输 时 都 要 进行 加 密 。 
“下 一 个 头 ”(Next Header) 用 来 标识 净 荷 部 分 所 使 用 的 协议 , 它 可 能 是 传输 层 协 议 (TCP 
或 UDP)， 也 可 能 是 IPSec 协议 (ESP Bk AH). 

前 面 已 经 提 到 ，IPSec 有 两 种 工作 模式 ， 这 意味 着 ESP 协议 也 有 两 种 工作 模式 : 传 
输 模式 (Transport Mode) 和 隧道 模式 (Tunnel Mode)。 当 ESP 工作 于 传输 模式 时 ， 封 装 
包头 部 采用 当前 的 IP 头 部 。 在 ESP 工作 于 隧道 模式 时 ，IPSec HAE IP 数据 包 进行 加 
密 作为 ESP 净 荷 ， 并 在 ESP 头 部 前 增添 以 网 关 地 址 为 源 地 址 的 新 的 IP 头 部 ， 此 时 IPSec 
可 以 起 到 NAT 的 作用 。 


安全 参数 索引 (SIP, 32b) 
序列 号 域 (32b) 
载荷 数据 (32b 分 组 的 倍数 ) 
填充 数据 (0~255B) 
| 填充 长 度 (8b) [下 一 个 头 (8b) 


认证 数据 (32b 分 组 的 倍数 ) 
图 14-9 ESP 的 格式 


3. IKE 

Internet 密 钥 交换 协议 (Intemet Key Exchange, IKE) 用 于 动态 建立 安全 关联 (Security 
Association, SA). FH RFC2409 描述 的 IKE 属于 一 种 混合 型 协议 。 它 汲取 了 ISAKMP, 
Oakley 密 钥 确定 协议 及 SKEME 的 共享 密 钥 更 新 技术 的 精华 ， 从 而 设计 出 独一无二 的 密 
钥 协 商 和 动态 密 钥 更 新 协议 。 此 外 ，IKE 还 定义 了 两 种 密 钥 交 换 方 式 。IKE 使 用 两 个 阶 
段 的 ISAKMP: 在 第 一 阶段 ， 通 信 各 方 彼此 间 建 立 一 个 已 通过 身份 验证 和 安全 保护 的 通 
道 ， 即 建立 IKE 安全 关联 ; 在 第 二 阶段 ， 利 用 这 个 既定 的 安全 关联 为 IPSec 建立 安全 通 
道 。IKE 图 解 如 图 14-10 所 示 。 
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ISAKMP 一 一 密 钥 管理 
Scan UDP 500 端 口 


| | 


IKE 一 协议 使 用 UDP SOOM H ET 


OTE: 一 … 一 部 分 规范 
一 一 一 层次 关系 


一 -一 协议 通信 
图 14-10 IKE 图 解 


IKE 定义 了 两 个 阶段 :阶段 1 交换 和 阶段 2 交换 。Oakley 定义 了 3 种 模式 ， 分 别 对 
应 ISAKMP 的 3 个 阶段 : 快速 模式 、 主 模式 和 野蛮 模式 。 在 阶段 1 交换 ，IKE 采用 的 是 
身份 保护 交换 〈“ 主 模式 ”交换 )， 以 及 根据 ISAKMP 文档 制定 的 “野蛮 模式 ”交换 ， 在 
阶段 2 264%, IKE 则 采用 了 一 种 “快速 模式 ”交换 。 

ISAKMP 通过 IKE 对 以 下 几 种 密 钥 交换 机 制 提供 支持 : 

e 预 共享 密 钥 (PSK). 

e 公 钥 基础 设施 (PKI)。 

© IPSec 实体 身份 的 第 三 方 证 书 。 

不 难 理解 ， 预 共享 密 钥 (Preshared Secret Key, PSK) 机 制 实质 上 是 一 种 简单 的 口令 
方法 。 在 IPSec VPN 网 关上 预 设 常量 字符 串 ， 通 信 双 方 据 此 共享 秘密 实现 相互 认证 。 而 
采用 PKI 和 数字 证 书 的 认证 方式 在 第 9 章 中 已 经 做 了 详细 介绍 。 

总 之 ，IKE 可 以 动态 地 建立 安全 关联 和 共享 密 钥 。IKE 建立 安全 关联 的 实现 极为 复 
杂 。 从 一 方面 看 ， 它 是 IPSec 协议 实现 的 核心 ， 从 另 一 方面 看 ， 它 也 很 可 能 成 为 整个 系 
统 的 瓶颈 。 进 一 步 优化 IKE 程序 和 密码 算法 是 实现 IPSec 的 核心 问题 之 一 。 


1434 安全 关联 


IPSec 的 中 心 概念 之 一 是 “安全 关联 ”(Security Association, SA)。 从 本 质 上 讲 , IPSec 
可 被 视 为 AH+ESP。 当 两 个 网 络 节 点 在 IPSec 保护 下 通信 时 ， 它 们 必须 协商 一 个 SA (用 
于 认证 ) 或 两 个 SA 分别 用 于 认证 和 加 密 )， 并 协商 这 两 个 节点 间 所 共享 的 会 话 密 钥 以 
便 它 们 能 够 执行 加 密 操作 。 要 在 两 个 安全 网 关 之 间 建立 安全 双 工 通信 ， 需 要 为 每 个 方向 
建立 一 个 SA。 在 IPSec 当前 的 实现 方案 中 ，SA 管理 机 制 只 定义 了 单一 特性 的 SA。 这 意 
味 着 当前 的 SA 只 能 建立 点 到 点 的 通信 。 在 未 来 ， 增 强 功能 将 会 支持 点 到 点 及 一 点 到 多 
点 的 通信 。 

每 个 SA 的 标识 由 3 部 分 组 成 : 

。 安全 性 参数 索引 ， 即 SPI 
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e IP 目 的 地 址 。 

e 安全 协议 标识 ， 即 AH BÈ ESP. 

如 前 所 述 ，SA 有 两 种 模式 ， 即 传输 模式 和 隧道 模式 。 传 输 模式 下 的 SA 是 两 个 主机 
间 的 安全 关联 ， 隧 道 模式 下 的 SA 只 适用 于 卫 隧道 。 如 果 在 两 个 安全 网 关 之 间 或 一 个 安 
全 网 关 和 一 个 主机 之 间 建 立 安全 关联 ， 那 么 此 SA 必须 使 用 隧道 模式 。 

当然 ， 也 可 以 将 不 同 的 SA 组 合 起 来 使 用 ， 以 提供 多 层次 的 安全 性 或 封装 能 力 。 当 
对 SA 进行 组 合 时 ， 称 组 合 结果 为 一 个 SA HR. JEM, IPSec 在 对 传输 数据 进行 处 理 时 ， 
也 必须 进行 一 系列 的 安全 关联 。 


14.3.5 IPSec VPN 的 构成 


VPN 由 管理 模块 、 密 钥 分 配 和 生成 模块 、 身 份 认证 模块 、 数 据 加 /解密 模块 、 数 据 分 
组 封装 /分 解 模 块 和 加 密 函数 库 等 几 部 分 组 成 。 一 个 IPSec VPN 的 组 成 如 图 14-11 所 示 。 


me 加 密 函 数 库 

管理 员 密 钥 分 配 上 | 身份 认证 上 | 数据 加 / 
SE 和 生成 模块 | 模块 “| 解密 模块 
用 户 数据 分 组 封装 /分 解 模块 | 


14-11 IPSec VPN 的 组 成 


1. 管理 模块 

管理 模块 负责 整个 系统 的 配置 和 管理 , 它 决定 了 采取 何 种 传输 模式 , 对 哪些 IP 数据 
包 进 行 加 /解密 。 由 于 对 IP 数据 包 进行 加 密 要 消耗 系统 资源 、 增 大 网 络 延迟 ， 因 此 对 两 
个 安全 网 关 之 间 的 所 有 IP 数据 包 提供 VPN 服务 是 不 现实 的 。 网 络 管理 员 可 以 通过 管理 
模块 指定 对 哪些 IP 数据 包 进行 加 密 。Intranet 内 部 用 户 也 可 以 通过 Telnet 协议 传送 专用 
命令 ， 指 定 VPN 系统 对 自己 的 IP 数据 包 提供 加 密 服务 。 


2. 密 钥 分 配 和 生成 模块 

密 钥 分 配 和 生成 模块 负责 完成 身份 认证 和 数据 加 密 所 需 的 密 钥 生成 和 分 配 。 其 中 ， 
密 钥 的 生成 采取 随机 生成 的 方式 。 各 安全 网 关 之 间 的 密 钥 分 配 采取 手工 分 配 的 方式 ， 或 
者 通过 非 网 络 传输 的 其 他 安全 通信 方式 完成 密 钥 在 各 安全 网 关 之 间 的 传送 。 各 安全 网 关 
的 密 钥 存储 在 密 钥 数据 库 中 ， 支 持 以 IP 地 址 为 关键 字 的 快速 查询 和 获取 。 

3. 身份 认证 模块 

身份 认证 模块 对 IP 数据 包 进行 消息 认证 码 的 运算 。 整 个 数字 签名 的 过 程 如 图 14-12 
所 示 。 


[数据 分 组 m HY HMAC=H4m, K Ff IP 数 据 分 组 m | HMAC | 
图 14-12 消息 认证 码 计 算 过 程 示 意图 


首先 ， 发 送 方 对 数据 m MEH K 进行 杂凑 运算 HMAC=Hlm,K)， 得 到 消息 认证 码 
HMAC. 发 送 方 将 HMAC 附 在 明文 后 ， 一 起 传送 给 接收 方 。 接 收 方 收 到 数据 后 ， 首 先 用 


405 


Be 网络 安全 一 一 技术 与 实践 (第 2 版 ) m 


共享 密 钥 天 计算 HMAC'， 并 将 其 与 接收 到 的 HMAC 进行 比较 ， 如 果 二 者 一 致 ， 则 表明 
数据 未 被 算 改 。 消 息 认证 码 在 保证 数据 完整 性 的 同时 也 起 到 了 身份 认证 的 作用 ， 因 为 只 
有 在 通信 双方 有 共享 密 钥 的 情况 下 才能 得 到 相同 的 消息 认证 码 。 


4. 数据 加 /解密 模块 

数据 加 /解密 模块 对 IP 数据 包 进行 加 密 和 解密 操作 。 可 选 的 加 密 算法 有 IDEA 算法 和 
DES 算法 。 前 者 在 用 软件 方式 实现 时 可 以 获得 较 快 的 加 密 速 度 。 为 了 进一步 提高 系统 效 
率 ， 可 以 采用 专用 硬件 实现 数据 的 加 密 和 解密 ， 这 时 采用 DES 算法 能 得 到 较 快 的 加 密 速 
度 。 目 前 ， 随 着 计算 机 计算 能 力 的 提高 ，DES 算法 已 不 能 满足 安全 要 求 。 对 于 安全 性 要 
求 更 高 的 网 络 数据 ， 数 据 加 /解密 模块 可 采用 Triple DES 或 AES 加 密 算法 。 


5. 数据 分 组 封装 /分 解 模块 

数据 分 组 封装 /分 解 模块 实现 对 IP 数据 分 组 的 安全 封装 或 分 解 。 当 从 安全 网 关 发 送 
IP 数据 分 组 时 ， 数 据 分 组 封装 /分 解 模 块 为 IP 数据 分 组 附加 上 身份 认证 头 AH 和 安全 数 
据 封 装 头 ESP。 当 安全 网 关 接 收 到 卫 数据 分 组 时 , 数据 分 组 封装 /分 解 模块 对 AH 和 ESP 
进行 协议 分 析 ， 并 根据 包头 信息 进行 身份 验证 和 数据 解密 。 


6. 加 密 函 数 库 

加 密 函 数 库 为 上 述 模 块 提供 统一 的 加 密 服务 。 设 计 加 密 函 数 库 的 一 条 基本 原则 是 通 
过 一 个 统一 的 函数 接口 与 上 述 模 块 进行 通信 。 这 样 可 以 根据 实际 需要 ， 在 挂 接 加 密 算法 
和 加 密 强 度 不 同 的 函数 库 时 ， 无 须 改动 其 他 模块 。 


14.3.6 IPSec 的 实现 
FreeS/WAN 是 Linux 操作 系统 中 包含 的 IPSec VPN 实现 方案 ， 在 网 上 可 以 找到 其 开 
放 的 源 代码 (下 载 网 址 : www.freeswan.org)。 


144 SSL/TLS VPN 


14.4.1 TLS 协议 概述 


SSL VPN 也 称 做 传输 层 安 全 协议 (TLS) VPN. 它 起 初 由 Netscape 公司 定义 并 开发 ， 
JEX IETF 将 SSL 重新 更 名 为 TLS。 就 设计 思想 和 目标 而 言 ，SSL v3 和 TLS vi 是 相同 
的 。 在 本 章 后 面 的 讨论 中 ， 将 使 用 TLS 来 替代 SSL. 

TLS 协议 主要 用 于 HTTPS 协议 中 。HTTPS 协议 将 Web 浏览 协议 HTTP 和 TLS 结合 
在 一 起 。HTTPS 协议 是 用 户 进行 网 上 项 目 申报 、 网 上 交易 和 网 上 银行 操作 时 常用 的 一 个 
工具 。 

TLS 也 可 以 作为 构造 VPN 的 技术 。 近 年 来 ，TLS VPN 的 使 用 越 来 越 广泛 。 企 业 使 
用 TLS VPN， 可 以 大 大 降低 通信 费用 ， 并 使 网 络 的 安全 性 得 到 明显 提高 。 与 IPSec VPN 
相 比 ，TLS VPN 的 最 大 优点 是 用 户 不 需要 安装 和 配置 客户 端 软件 ， 只 需要 在 客户 端 安装 
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一 个 正 浏览 器 即 可 。 相反, IPSec 需要 在 每 台 计 算 机 上 配置 相应 的 安全 策略 。 虽然 IPSec 
的 安全 性 很 高 ， 但 这 需要 技术 人 员 花 费 很 多 精力 去 研究 IPSec 的 配置 。 虽 然 有 一 些 方法 
可 以 自动 完成 这 个 过 程 ， 但 使 用 IPSec VPN 通常 会 增加 管理 成 本 。 

由 于 TLS 协议 允许 使 用 数字 签名 和 证 书 , 因此 TLS 协议 能 提供 强大 的 认证 功能 。 在 
建立 TLS 连接 过 程 中 ,客户 端 和 服务 器 之 间 要 进行 多 次 的 信息 交互 。TLS 协议 的 连接 建 
立 过 程 如 图 14-13 所 示 。 

Client hello 


证 书 (服务 器 的 ) 
书 请 求 
Server hello 完 成 
证 书 (客户 的 ) 
证 书 验证 服务 器 B 


客户 4 
(如 Web 浏 览 器 ) 密 钥 交 换 协议 (如 openssl) 


14-13 TLS 协议 的 连接 建立 过 程 


与 许多 客户 /服务 器 方式 一 样 ， 客 户 端 通过 向 服务 器 发 送 “Client hello” 信 息 打开 连 
接 ， 服 务 器 用 “Server hello” 回 答 。 然 后 ， 服 务 器 要 求 客户 端 提供 它 的 数字 证 书 。 服 务 
器 在 完成 对 客户 端 证 书 的 验证 后 ， 就 会 启动 执行 密 钥 交 换 协 议 。 密 钥 交 换 协 议 的 主要 任 
务 是 : 

e 产生 一 个 主 密 钥 。 

e 由 主 密 钥 产生 两 个 会 话 密 钥 : 4 一 B 的 密 钥 和 BA 的 密 钥 。 

。 由 主 密 钥 产 生 两 个 消息 认证 码 密 钥 。 

完整 的 TLS 协议 体系 结构 如 图 14-14 所 示 。 可 以 看 出 ，TLS 记录 协议 属于 第 3 层 协 
议 ， 而 TLS 握手 协议 、TLS 密 钥 交换 协议 和 TLS 报警 协议 均 与 HTTP 和 FTP 一 样 ， 属 
于 应 用 层 协 议 。 


TLS 密 钥 TLS 
握手 协议 | 交换 协议 | 报警 协议 
TLS 记 录 协 议 
传输 控制 协议 (TCP) 
网 间 协 议 (IP) 


14-14 ”完整 的 TLS 协议 体系 结构 


14.4.2 TLS VPN 的 原理 


大 多 数 TLS VPN 都 采用 HTTP 反 向 代理 ， 这 样 它们 非常 适合 于 具有 Web 功能 的 应 
用 ,通过 任何 Web 浏览 器 都 可 访问 。HTTP 反 向 代理 支持 其 他 查询 /应 答应 用 ， 如 企业 的 
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电子 邮件 及 ERP 和 CRM 等 客户 /服务 器 应 用 。 为 了 访问 这 些 类 型 的 应 用 ，TLS VPN 为 
远程 连接 提供 了 一 种 简单 、 经 济 的 方案 。 它 属于 即 插 即 用 型 ， 不 需要 任何 附加 的 客户 端 
软件 或 硬件 。 一 般 来 讲 ，TLS VPN 的 实现 方式 是 在 企业 的 防火 墙 后 面 放置 一 个 TLS 代 
理 服 务 器 。 如 果 用 户 欲 安全 地 连接 到 公司 网 络 ， 首 先 要 在 浏览 器 上 输入 一 个 URL， 该 
连接 请 求 将 被 TLS 代理 服务 器 取得 。 当 该 用 户 通过 身份 验证 后 ，TLS 代理 服务 器 将 提 
供 远程 用 户 与 各 种 不 同 应 用 服务 器 之 间 的 连接 。TLS VPN 的 实现 主要 依靠 下 面 3 种 协 
议 的 支持 。 

1. 握手 协议 

握手 协议 建立 在 可 靠 的 传输 协议 之 上 ， 为 高 层 协 议 提供 数据 封装 、 压 缩 和 加 密 等 基 
本 功能 的 支持 。 这 个 协议 负责 被 用 于 协商 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 
TLS 客户 机 和 服务 器 第 一 次 通信 时 ， 它 们 首先 要 在 选择 协议 版 本 上 达成 一 致 ， 选 择 加 密 
算法 和 认证 方式 ， 并 使 用 公 钥 技术 来 生成 共享 密 钥 。 具 体 协议 流程 如 下 。 

(1) TLS 客户 机 连接 至 TLS 服务 器 ， 并 要 求 服务 器 验证 客户 机 的 身份 。 

(2) TLS 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 
链 ， 该 证 书 链 可 以 追溯 到 某 个 根 证书 颁 发 机 构 。 通 过 检查 证 书 的 有 效 日 期 并 验证 数字 证 
书 中 所 包含 的 可 信任 CA 的 数字 签名 来 确认 TLS 服务 器 公 钥 的 真实 性 。 

G) 服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 但 由 于 缺乏 PKI 系统 的 支撑 ， 
当今 的 大 多 数 TLS 服务 器 不 进行 客户 端 认证 。 

(4) 协商 用 于 消息 加 密 的 加 密 算法 和 用 于 完整 性 检验 的 杂凑 函数 ， 通 常 由 客户 端 提 
供 它 所 支持 的 所 有 算法 列表 ， 然 后 由 服务 器 选择 最 强 的 密码 算法 。 

G) 客户 机 生成 一 个 随机 数 ， 并 使 用 服务 器 的 公 钥 〈 从 服务 器 证 书 中 获取 ) 对 它 加 
密 ， 并 将 密 文 发 送 给 TLS 服务 器 。 

(6) TLS 服务 器 通过 发 送 另 一 随机 数据 做 出 响应 。 

(7) 对 以 上 两 个 随机 数 进行 杂凑 函数 运算 ， 从 而 生成 会 话 密 钥 。 

其 中 ， 最 后 3 步 用 来 生成 会 话 密 钥 。 


2. TLS 记录 协议 

TLS 记录 协议 建立 在 TCP/IP 之 上 ， 用 于 在 实际 数据 传输 开始 前 通信 双方 进行 身 
份 认 证 、 协 商 加 密 算法 和 交换 加 密 密 钥 等 ,发 送 方 将 应 用 消息 分 割 成 可 管理 的 数据 块 ， 
然后 与 密 钥 一 起 进行 杂凑 运算 ,生成 一 个 消息 认证 代码 (Message Authentication Code, 
MAC)， 最 后 将 组 合 结果 进行 加 密 并 传输 。 接 收 方 接收 数据 并 解密 ， 校 验 MAC， 并 
对 分 段 的 消息 进行 重新 组 合 ， 把 整个 消息 提供 给 应 用 程序 。TLS 记录 协议 如 图 14-15 
所 示 。 

3. 告警 协议 

告警 协议 用 于 提示 何 时 TLS 协议 发 生 了 错误 ， 或 者 两 个 主机 之 间 的 会 话 何 时 终止 。 
只 有 在 TLS 协议 失效 时 告警 协议 才 会 被 激活 。 
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图 14-15 TLS 记录 协议 


14.4.3 TLS VPN 的 优 缺 点 


与 其 他 类 型 的 VPN 相 比 ，TLS VPN 有 独特 的 优点 ， 归 纳 起 来 主要 有 如 下 几 点 。 

(1) 无 须 安 装 客户 端 软 件 。 只 需要 标准 的 Web 浏览 器 连接 Internet， 即 可 以 通过 网 
页 访问 企业 总 部 的 网 络 资源 。 

(2) 适用 于 大 多 数 设备 。 浏 览 器 可 以 访问 任何 设备 ,如 可 上 网 的 PDA 和 蜂窝 电话 等 
设备 。Web 已 成 为 标准 的 信息 交换 平台 ， 越 来 越 多 的 企业 开始 将 ERP、CRM、SCM 移 
植 到 Web Eo TLS VPN 起 到 为 Web 应 用 保驾 护航 的 作用 。 

(3) 适用 于 大 多 数 操作 系统 ， 如 Windows，Macintosh，UNIX 和 Linux 等 具有 标准 
浏览 器 的 系统 。 

(4) 支持 网 络 驱 动 器 访问 。 

(5) TLS 不 需要 对 远程 设备 或 网 络 做 任何 改变 。 

(6) 较 强 的 资源 控制 能 力 。 基 于 Web 的 代理 访问 ， 可 对 远程 访问 用 户 实施 细 粒 度 的 
资源 访问 控制 。 

(7) 费用 低 且 具有 良好 的 安全 性 。 

(8) 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 ， 而 IPSec VPN 很 难 做 到 这 一 点 。 

(9) TLS 加 密 已 经 内 嵌 在 浏览 器 中 ， 无 须 增加 额外 的 软件 。 

TLS VPN 有 以 下 不 足 。 

(1) TLS VPN 的 认证 方式 比较 单一 ， 只 能 采用 证 书 ， 而 且 一 般 是 单 向 认证 。 支 持 其 
他 认证 方式 往往 要 进行 长 时 间 的 二 次 开发 。 而 IPSec VPN 的 认证 方式 更 加 灵活 ， 支 持 口 
令 、RADIUS、 令 牌 等 认证 方式 。 

(2) TLS VPN 应 用 的 局 限 性 很 大 ， 只 适用 于 数据 库 - 应 用 服务 器 -Web 服务 器 -浏览 器 
这 一 种 模式 。 

(3) TLS 协议 只 对 通信 双方 所 使 用 的 应 用 通道 进行 加 密 ， 而 不 是 对 整个 通道 进行 加 密 。 

(4) TLS 不 能 对 应 用 层 的 消息 进行 数字 签名 。 

(5) LAN-to-LAN 的 连接 缺少 理想 的 TLS 解决 方案 。 

(6) TLS VPN 的 加 密级 别 通常 不 如 IPSec VPN 高 。 
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(7) TLS 能 保护 由 HTTP 创建 的 TCP 通道 的 安全 ， 但 它 并 不 能 保护 UDP 通道 的 安全 。 

(8) TLS VPN 是 应 用 层 加 密 ， 性 能 比较 差 。 目 前 ，IPSec VPN 可 以 达到 千 兆 位 每 秒 
甚至 接近 10Gb/s， 而 TLS VPN 由 于 在 应 用 层 上 加 密 ， 即 使 使 用 加 速 卡 ， 也 只 能 达到 
300Mb/s。 

(9) TLS VPN 只 能 进行 认证 和 加 密 ， 不 能 实施 访问 控制 。 在 隧道 建立 后 ， 管 理 员 对 
用 户 不 能 进行 任何 限制 。 而 集成 防火 墙 的 IPSec VPN 则 可 以 根据 用 户 的 身份 和 角色 ， 在 
其 访问 内 部 资源 〈 主 机 、 数 据 库 ) 时 进行 访问 控制 和 安全 审计 。 

(10) TLS VPN 需要 CA 的 支持 ， 企 业 必须 外 购 或 自己 部 署 一 个 小 型 的 CA 系统 。 对 
于 一 个 企业 来 说 ， 证 书 管 理 也 是 一 件 相当 复杂 的 工作 。 


14.4.4 TLS VPN 的 应 用 


目前 ， 远 程 客户 采用 TLS VPN 主要 用 于 访问 内 部 网 中 的 一 些 基于 Web 的 应 用 ， 这 
些 Web 应 用 目前 主要 有 内 部 网 页 浏览 、 电 子 邮 件 及 其 他 基于 Web 的 查询 工作 。 在 客户 
与 TLS VPN 的 通信 中 ， 人 们 通常 采用 TLS Proxy 技术 来 提高 VPN 服务 器 的 通信 性 能 和 
安全 身份 验证 能 力 。 在 为 企业 高 级 用 户 〈(Power User) 提供 远程 访问 及 为 企业 提供 
LAN-to-LAN 隧道 连接 方面 ,IPSec 具有 无 可 比拟 的 优势 。 但 是 , 人 们 认为 典型 的 TLS VPN 
最 适合 普通 员工 远程 访问 基于 Web 的 应 用 。 虽 然 TLS VPN 有 很 多 优点 ， 但 它 并 不 能 取 
AK IPSec VPN， 因 为 这 两 种 技术 分 别 应 用 在 不 同 的 领域 。TLS VPN 更 多 考虑 的 是 用 户 远 
程 接 入 Web 应 用 的 安全 性 , 而 IPSec VPN 主要 提供 LAN-to-LAN 的 隧道 安全 连接 , ER 
护 的 是 点 对 点 之 间 的 通信 。 当 然 , 它 也 可 以 提供 对 Web 应 用 的 远程 访问 。 目 前 , IPSec VPN 
的 厂商 也 开始 研究 如 何 让 IPSec VPN 兼容 TLS VPN， 以 增强 可 用 性 。 如 果 能 做 到 这 点 ， 
IPSec VPN 的 扩展 性 将 大 大 加 强 ， 市 场 占有 率 也 会 更 高 ， 生 命 力 也 将 更 长 久 。 


14.4.5 TLS VPN 5 IPSec VPN 比较 


TLS VPN 与 IPSec VPN 的 性 能 比较 如 表 14-2 所 示 。 
表 14-2 TLS VPN 5 IPSec VPN 的 性 能 比较 


选 项 TLS VPN IPSec VPN 
单 向 身份 验证 À 
身份 验证 双向 身份 验证 ule 
数字 证 书 
加 密 强加 密 强加 密 
基于 Web 浏览 器 依靠 执行 
全 程 安全 性 端 到 端 安全 网 络 边缘 到 客户 端 
从 客户 到 资源 端 全 程 加 密 仅 对 从 客户 到 VPN 网 关 之 间 通 道 加 密 
可 访问 性 适用 于 任何 时 间 、 任 何 地 点 访问 限制 适用 于 已 经 定义 好 受 控 用 户 的 访问 
费用 低 〈 无 须 任何 附加 客户 端 软件 ) 高 (需要 管理 客户 端 软件 ) 
安装 即 插 即 用 安装 通常 需要 长 时 间 的 配置 
无 须 任何 附加 的 客户 端 软 、 硬 件 安装 需要 客户 端 软 件 或 硬件 
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续 表 
选 项 TLS VPN IPSec VPN 
用 户 的 易 使 用 | 对 用 户 非 常 友好 ， 使 用 非常 熟悉 的 Web | 对 没有 相应 技术 的 用 户 比较 困难 
性 浏览 器 需要 培训 
无 须 终端 用 户 的 培训 
基于 Web 的 应 用 
支持 的 应 用 | 文件 共享 所 有 基于 IP 的 服务 
E-mail 
es BP TREE. ER. RER | re our 
is 在 服务 器 端 容易 实现 自由 伸缩 ， 在 客 
可 伸缩 性 容易 配置 和 扩展 ports 
穿越 防火 墙 ”| 可 以 不 可 以 
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由 3COM 公司 和 微软 公司 合作 开发 的 点 对 点 隧道 协议 (Point-to-Point Tunneling 
Protocol，PPTP) 是 第 一 个 用 来 建立 VPN 的 协议 。PPTP 之 所 以 能 得 到 广泛 应 用 ， 是 因 
为 它 使 用 起 来 比较 灵活 ， 容 易 部 署 ， 而 且 能 得 到 大 多 数 运营 商 的 解决 方案 的 支持 。 该 协 
议 最 初 于 1998 年 提出 ， 是 Windows NT 4.0 的 一 个 重要 组 成 部 分 。 但 是 ， 此 协议 在 提出 
之 初 存在 严重 的 安全 问题 , 随后 在 Windows 2000 和 Windows 2003 中 进行 了 大 量 的 修改 。 
即便 如 此 ，PPTP 的 声誉 还 是 由 于 最 初 的 错误 而 受到 损害 。 


14.5.1 PPTP 概述 


PPTP VPN 最 早 是 Windows NT 4.0 支持 的 隧道 协议 标准 ， 是 PPP 的 扩展 。PPTP È 
要 增强 了 PPP 的 认证 和 加 密 功 能 。PPTP 在 一 个 已 存在 的 IP 连接 上 封装 PPP 会 话 ， 只 要 
网 络 层 是 连通 的 ， 就 可 以 运行 PPP。PPTP 将 控制 包 与 数据 包 分 开 ， 控 制 包 采 用 TCP 传 
输 ， 用 来 进行 严格 的 状态 查询 和 信 令 信息 交换 ， 数据 包 部 分 先 封装 在 PPP 中 ， 然 后 再 封 
装 到 GRE 协议 中 ,用 于 在 标准 IP 包 中 封装 任何 形式 的 数据 包 。 因 此 ，PPTP 可 以 支持 所 
有 的 主流 协议 ， 包 括 IP. IPX 和 NetBEUI 等 。 

PPTP 的 主要 功能 是 开通 VPN 隧道 ， 它 还 是 采用 原来 的 PPP 拨号 建立 网 络 连接 。 除 
了 搭建 隧道 外 ，PPTP 对 PPP 本 身 没 有 做 任何 修改 ， 只 是 将 用 户 的 PPP 帧 采用 GRE 封装 
成 下 数据 包 , 在 Intemet 中 经 隧道 传送 。PPTP 本 身 并 没有 定义 新 的 加 密 机 制 ， 它 只 是 继 
ÆT PPP 的 认证 和 加 密 机 制 , 包括 PAP、CHAP、MS-CHAP 身份 认证 机 制 及 微软 的 点 对 
点 加 密 (Microsoft Point-to-Point Encrypt, MPPE) 机 制 。 

PPTP 是 支持 远程 访问 (Client-to-LAN) 型 VPN 的 一 种 隧道 方案 ， 它 可 用 于 移动 办 
公 或 个 人 用 户 远程 访问 VPN 服务 器 网 络 。 同 时 ，PPTP 也 适用 于 企业 网 络 之 间 建 立 
LAN-to-LAN 的 VPN 隧道 连接 。PPTP 在 PPP 的 基础 上 增加 了 一 个 新 的 安全 等 级 ， 并 且 
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可 以 通过 Internet 进行 多 协议 通信 , 也 支持 通过 Intenet 建立 按 需 的 、 多 协议 的 虚拟 专 网 。 

PPTP 的 两 个 主要 任务 是 “封装 ”和 “加 密 ”。PPTP 的 “封装 ”使 用 GRE 的 头 部 数 
据 和 IP 头 部 数据 包装 PPP wl. IP 头 部 数据 用 来 标识 与 客户 机 和 VPN 服务 器 相关 的 源 和 
目的 IP 地 址 等 路 由 信息 。PPP WIZE PPTP 中 的 数据 封装 方式 如 图 14-16 所 示 。 从 图 中 可 
以 看 出 ，PPTP 的 VPN 隧道 包 封 装 方式 仅 是 在 PPP 帧 的 前 面 添 加 了 一 个 用 来 标识 源 和 目 
的 地 址 的 IP 头 和 一 个 GRE 头 。 

PPP 帧 

PPP 头 加 密 的 PPP 净 荷 


一 


[ wx | Grex | PPP 头 | 加密 的 PPP 净 荷 | 
图 14-16 PPP 帧 在 PPTP 中 的 数据 封装 方式 


由 于 PPTP 本 身 没 有 定义 加 密 功 能 ,因此 所 谓 的 “加 密 ? 实 际 上 是 PPP 通过 MS-CHAP 
和 EAP-TLS 协议 建立 会 话 密 钥 ， 然 后 再 对 净 荷 部 分 采用 MPPE 机 制 进 行 加 密 。 因 此 ， 
PPTP 本 身 不 提供 加 密 服务 ， 只 是 对 先前 已 加 密 的 PPP 帧 进行 封装 。 


14.5.2 PPTP VPN 的 原理 


点 对 点 隧道 协议 由 RFC2637 定义 ， 是 一 种 应 用 比较 广泛 的 VPN。 由 于 PPTP VPN 
使 用 了 一 个 不 安全 的 控制 通道 (该 通道 采用 TCP 1723 端口 )， 且 PPTP 本 身 没有 定义 任 
何 加 密 机 制 ， 因 此 它 的 安全 性 不 如 IPSec VPN 和 TLS VPN 高 。PPTP VPN 构成 示意 图 如 
图 14-17 所 示 。 


S 公司 站 点 公共 Intemet 使 用 拨号 调制 解 调 器 、 
= LAN 等 工具 访问 ISP 
` 的 远程 计算 机 
公司 PPTP 网 络 
服务 器 (PNC) PPTP: J = & 
TCP 控 制 通道 
3111723 Ss 
1 
| ISP PPTP 访 问 集中 
| | 器 (PAC) 是 客户 
K EGRERBE 
被 访问 的 PPTP (IP 协 议 47) 本 
公司 服务 器 ”网 络 访问 aE: 不 安全 通道 
RANAS O 安全 通道 


图 14-17 PPTP VPN 构成 示意 图 


PPTP 基于 C/S 结构 , 它 将 认证 和 连接 设置 功能 分 离开 来 , 而 在 其 他 类 型 的 VPN (如 
IPSec VPN) 中 ， 这 两 个 功能 是 统一 的 ， 即 在 同一 个 协议 中 实现 了 AH 和 ESP 两 个 功能 。 
PPTP 定义 了 3 个 功能 实体 : PPTP 访问 集中 器 (PPTP Access Server，PAC)、 网 络 访问 服 
务 器 (Network Access Server，NAS， 有 时 称 做 RAS)、PPTP 网 络 服务 器 (PPTP Network 
Server, PNS). 

传统 网 络 访问 服务 器 (NAS) 具有 以 下 功能 : 作为 PSTN 或 ISDN 的 本 地 接口 ， 控 
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制 着 外 部 的 Modem 或 终端 适配器 ;是 PPP 链 路 控制 协议 会 话 的 逻辑 终点 ， 是 PPP 认证 
协议 的 执行 者 ; 为 PPP 多 链 路 由 协议 进行 信道 汇聚 管理 ; 是 各 种 PPP 网 络 控制 协议 的 逻 
辑 终点 。PPTP 将 上 述 功能 分 解 成 由 两 部 分 一 一 PAC (PPTP 访问 集中 器 ) 和 PNS (PPTP 
网 络 服务 器 ) 来 分 别 执行 。 这 样 ， 拨 号 PPP 链 路 的 终点 就 延伸 至 PNS 。 

PPTP 正 是 利用 了 “NAS 功能 分 解 ” 机 制 的 支持 ， 才 能 在 Internet 上 实现 VPN. ISP 
的 NAS 将 执行 PPTP 中 指定 的 PAC 的 功能 .而 企业 VPN 中 心服 务 器 将 执行 PNS 的 功能 ， 
通过 PPTP， 远 程 用 户 首先 拨号 到 本 地 ISP 的 NAS， 访 问 企 业 的 网 络 和 应 用 ， 而 不 再 需 
要 直接 拨号 至 企业 的 网 络 , 这样, 由 GRE 将 PPP 报 文 封装 成 卫 报 文 就 可 以 在 PAC 一 PNS 
之 间 经 由 Internet 传递 ， 即 在 PAC 和 PNS 之 间 为 用 户 的 PPP 会 话 建 立 一 条 PPTP 隧道 。 

建立 PPTP 连 接 , 首先 需要 建立 客户 端 与 本 地 ISP 的 PPP 连接, 一 旦 成 功 接 入 Internet, 
下 一 步 就 是 建立 PPTP 连接 。 从 最 顶端 的 PPP 客户 端 、PAC 和 PNS 服务 器 之 间 开 始 ， 
由 已 经 安装 好 PPTP 的 PAC 建立 并 管理 PPTP 任务 。 如 果 PPP 客户 端 将 PPTP 添加 到 它 
的 协议 中 , 所 有 列 出 的 PPTP 通信 都 会 在 支持 PPTP 的 客户 端 上 开始 与 终止 。 由 于 所 有 通 
信 都 将 在 IP 包 内 通过 隧道 , 因此 PAC 只 起 着 通过 PPP 连接 进入 Internet 的 入 口 点 的 作用 。 
从 技术 上 讲 ，PPP EJM PPTP 隧道 的 一 端 传输 到 另 一 端 ， 这 种 隧道 对 用 户 是 完全 透明 的 。 


14.5.3 PPTP VPN 的 优 缺 点 


从 14.5.2 节 的 分 析 知 ,PPTP VPN 连接 的 思路 是 : 先 由 用 户 通过 PPP 拨号 连接 到 ISP, 
然后 通过 PPTP 在 客户 端 和 VPN 服务 器 之 间 开 通 一 个 专用 的 VPN 隧道 ， 数 据 经 隧道 进 
行 交 换 。 具 体 做 法 如 下 。 

(1) 远程 Windows 用 户 通过 拨号 网 络 中 的 远程 访问 服务 (RAS) 与 本 地 ISP 进行 
PPP 拨号 连接 。 

(2) 当 PPP 连接 建立 后 ，VPN 客户 再 使 用 VPN 连接 选项 进行 二 次 拨号 。 第 二 次 连 
接 不 再 使 用 与 当地 ISP 连接 的 电话 号 码 , 而 是 直接 使 用 VPN 服务 器 的 WAN 适配器 的 了 P 
地 址 或 域名 ， 并 且 客 户 端 用 VPN 端口 替代 第 一 次 电话 拨号 所 用 的 COM 端口 。 

从 上 面 的 分 析 看 出 ,建立 PPTP VPN 如 同 电话 拨号 上 网 一 样 方便 。 因 此，PPTP 的 最 
大 优点 是 : 它 不 依赖 于 TCP/IP 协议 族 ， 可 以 与 Novell 的 IPX 或 Microsoft 的 NetBEUI 
协议 一 起 使 用 。 然 而 ， 由 于 现今 的 大 多 数 网 络 都 基于 TCP/IP, ATLA PPTP 的 应 用 具有 一 
定 的 局 限 性 。 

此 外 ， 由 于 PPTP 中 没有 定义 加 密 功 能 ， 所 以 PPTP VPN 的 安全 性 是 所 有 类 型 的 IP 
VPN 中 最 低 的 。 因 此 ， 本 书 中 没有 把 PPTP VPN 作为 讨论 的 重点 。 


146 MPLS VPN 


MPLS VPN 是 一 种 基于 多 协议 标记 交换 (Multiprotocol Label Switching, MPLS) 4% 
术 的 耳 VPN。 在 网 络 路 由 和 交换 设备 上 应 用 MPLS 技术 可 以 简化 核心 路 由 器 的 路 由 选择 
方式 。 MPLS 利用 传统 路 由 中 的 标记 交换 技术 来 实现 IP 虚拟 专 网 CIP VPN). MPLS VPN 
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可 用 来 构造 宽带 的 Intemet 和 Extranet， 它 能 够 满足 企业 对 业务 多 样 性 的 需求 。 
14.6.1 MPLS 协议 概述 


MPLS 是 基于 标记 的 IP 路 由 选择 方法 。 用 这 些 标记 可 以 标识 逐 跳 式 或 显 式 路 由 ， 并 
标识 服务 质量 (QoS)、 特 定 类 型 的 流量 (或 一 个 特殊 用 户 的 流量 ) 及 流量 的 传输 方式 等 
各 类 信息 。MPLS 采用 简化 技术 完成 第 3 层 和 第 2 层 的 转换 ， 可 为 每 个 P 数据 包 提供 一 
个 标记 。 该 标记 与 P 数据 包 一 起 被 封装 于 新 的 MPLS 数据 包 中 ， 它 决定 了 P 数据 包 的 
传输 路 径 及 优先 顺序 。 支 持 MPLS 协议 的 路 由 器 会 仅 读 取 该 MPLS 数据 包 的 包头 标记 ， 
无 须 再 去 读 取 每 个 卫 数据 包 中 的 IP 地 址 等 信息 ， 即 可 将 IP 数据 包 按 相应 路 径 转发 。 因 
JH, MPLS 技术 可 以 大 大 加 快 路 由 器 交换 和 转发 数据 包 的 速度 。 

目前 的 路 由 协议 都 是 在 一 个 指定 源 和 目的 地 之 间 选 择 最 短路 径 ， 而 没有 考虑 该 路 径 
的 带宽 、 载 荷 等 链 路 状态 ， 也 没有 绕 过 缺乏 安全 保障 链 路 的 有 效 方法 。MPLS 技术 利用 
显 式 路 由 选择 ， 可 灵活 选择 一 条 低 延 迟 、 高 安全 的 路 径 来 传输 数据 。 

MPLS 协议 实现 了 第 3 层 路 由 到 第 2 层 交 换 的 转换 。MPLS 可 以 使 用 各 种 第 2 层 协 
W. ZS, MPLS 工作 组 已 经 对 帧 中 继 、ATM、PPP 链 路 及 IEEE 802.3 局 域 网 上 使 用 的 
标记 进行 了 标准 化 。MPLS 可 为 帧 中 继 和 ATM 这 些 面向 连接 的 技术 提供 IP 的 任意 连通 
性 。 目 前 ，MPLS 的 主要 发 展 方向 在 ATM 方面 ， 这 主要 是 因为 ATM 具有 很 强 的 流量 管 
理 功能 ， 能 提供 QoS 服务 。ATM 与 MPLS 技术 相 结合 ， 能 充分 发 挥 ATM 在 流量 管理 和 
Qos 方面 的 作用 。 标 记 用 于 转发 数据 包 的 报头 ， 报 头 的 格式 则 取决 于 所 使 用 的 网 络 。 在 
路 由 器 网 络 中 ， 标 记 是 单独 的 32b 报头 ， 在 ATM 网 络 中 ， 标 记 置 于 虚 电 路 标识 符 / 虚 通 
道 标识 符 (VCLVPI) 信 元 报头 中 。MPLS 之 所 以 具有 很 强 的 可 扩展 性 ， 关 键 是 因为 标记 
只 在 两 个 通信 设备 之 间 才 有 特定 的 意义 ， 而 路 由 器 和 交换 机 只 解读 标记 而 不 解析 IP 数 
据 包 。 

IP 数据 包 进 入 网 络 时 ， 边 界 路 由 器 给 它 分配 一 个 标记 。 自 此 ，MPLS 设备 就 会 自 始 
至 终 查 看 这 些 标 记 信 息 ， 将 这 些 有 标记 的 数据 包 发 送 至 其 目的 地 。 由 于 路 由 处 理 减少 ， 
网 络 的 等 待 时 间 也 就 随 之 缩短 ， 而 可 扩展 性 却 有 所 增加 。MPLS 数据 包 的 QoS 类 型 可 以 
由 MPLS 边界 路 由 器 根据 IP 数据 包 的 各 种 参数 来 确定 ， 如 IP 的 源 地 址 、 目 的 地 址 、 端 
口号 、TOS 值 等 参数 。 

对 于 到 达 同 一 目的 地 的 IP 数据 包 ， 可 根据 其 TOS 值 的 要 求 建立 不 同 的 转发 路 径 ， 
以 确保 传输 质量 。 同 时 ， 通 过 对 特殊 路 由 的 管理 ， 还 能 有 效 地 解决 网 络 中 的 负载 均衡 和 
拥塞 问题 。 当 网 络 出 现 拥塞 时 ，MPLS 可 实时 建立 新 的 转发 路 由 分 散 流量 ， 以 缓解 网 络 
拥塞 。 

MPLS 由 Cisco 的 标记 交换 技术 演变 而 来 ， 已 成 为 IETF 的 标准 协议 ， 是 标记 转发 的 
典范 。 与 传统 的 网 络 层 技 术 相 比 ， 它 引入 了 以 下 一 些 新 概念 。 

(1) 流 (Flow): 从 一 个 特定 源 发 出 的 分 组 序列 , 它们 被 单 播 或 多 播 (unicast/multicast) 
到 特定 目的 地 。 

(2) 标记 (Label): 一 个 短 且 定 长 、 物 理 连续 、 只 具有 局 部 意义 的 标识 符 ， 用 来 标 
识 一 个 “流光 “局 部 意义 ”是 指 一 个 标记 仅 在 邻接 的 两 个 MPLS 节点 之 间 有 意义 。 
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(3) 标记 交换 (Label Swap): 一 种 基本 的 链 路 层 转发 操作 ， 包 括 查找 流入 分 组 的 标 
记 以 决定 对 应 的 流出 标记 、 封 装 操作 、 输 出 及 其 他 数据 处 理 操作 。 

(4) MPLS 节点 (MPLS Node): 可 以 用 标记 交换 方式 转发 数据 包 的 网 络 节点 。 同 
BY, MPLS 节点 还 必须 运行 相应 的 MPLS 控制 协议 和 一 定 的 网 络 层 路 由 协议 。MPLS 节 
点 也 可 以 选择 支持 传统 的 网 络 层 数据 包 转 发 。 

(5) 标记 交换 路 径 (Label Switched Path, LSP): 由 若干 MPLS 节点 连接 起 来 所 组 
成 的 点 到 点 的 路 径 。 在 该 路 径 上 ， 数 据 包 在 两 MPLS 节点 之 间 以 标记 交换 方式 转发 。 

(6) MPLS 域 (MPLS Domain): 运行 MPLS 路 由 选择 和 数据 包 转 发 的 一 组 连续 节 
点 的 集合 ， 这 些 节 点 存在 于 同一 个 路 由 或 管理 域 中 。 

(7) MPLS 边界 节点 (MPLS Edge Node): 连接 一 个 MPLS 域 及 一 个 域外 节点 的 
MPLS 节点 。 域 外 节点 可 以 不 在 MPLS 方式 下 运行 ， 也 可 以 属于 另外 一 个 MPLS 域 。 

(8) 标记 交换 路 由 器 (Label Switching Router, LSR): 核心 设备 。 根 据 已 计算 好 的 
交换 表 交 换 被 加 上 标记 的 数据 包 。LSR 可 以 称 为 MPLS 边界 节点 。 处 于 边缘 的 设备 称 为 
边缘 标记 交换 路 由 器 ELSR (Edge LSR)。 边 缘 标 记 交 换 路 由 器 对 数据 包 进 行 初始 分 类 处 
理 ， 并 加 上 第 一 个 标签 。 

(9) 标记 分 发 协议 (Label Distribution Protocol, LDP): 是 一 系列 FSR 之 间 的 通信 
规程 。 当 在 FSRs 之 间 交 换 和 转发 数据 包 时 ， 该 协议 用 来 进行 标记 的 交流 及 信息 的 传递 。 


14.6.2 MPLS VPN 的 原理 


与 采用 ATM, WP ARB th Pp Fe AR EZ VPN HALL, MPLS VPN 是 一 个 更 
有 具 吸引 力 的 选择 。 传 统 的 VPN 采用 专线 技术 组 网 ， 投 资 大 ， 效 率 低 。 利 用 Internet 构建 
VPN， 网 络 的 服务 质量 不 能 得 到 保证 ， 同 时 为 保证 网 络 安全 还 需 投入 大 量 资 金 。 

在 基于 MPLS 的 VPN 中 ,每 个 VPN 子 网 分 配 有 一 个 标识 符 , 称 做 路 由 标识 符 (RD )， 
这 个 标识 符 在 服务 提供 商 的 网 络 中 是 独一无二 的 。RD 和 用 户 的 了 P 地 址 连接 ， 又 形成 转 
发 表 中 一 个 独一无二 的 地 址 ， 称 为 VPN-IP 地 址 。 

VPN 转发 表 中 包括 与 VPN-IP 地 址 相对 应 的 标签 。 通 过 这 个 标签 将 数据 传送 到 相应 
地 点 。 因 为 标签 代替 了 IP 地 址 ， 所 以 用 户 可 以 保持 他 们 的 专用 地 址 结构 ， 无 须 进行 网 络 
地 址 转换 (NAT) 来 传送 数据 。 根 据 数据 入 口 ， 交 换 机 选择 一 个 特定 的 转发 表 ， 该 表 中 
只 包括 在 VPN 中 有 效 的 目的 地 址 。 为 了 创建 Extranet， 服 务 提供 商 在 VPN 之 间 要 明确 
配置 可 达 性 。 

这 种 解决 方案 的 优势 是 : 可 以 通过 相同 的 网 络 结构 支持 多 种 VPN， 并 不 需要 为 每 一 
个 用 户 建立 单独 的 VPN 网 络 连 接 。MPLS VPN 可 以 很 容易 地 与 基于 P 的 用 户 网 络 结合 
起 来 ， 这 种 方案 将 IP VPN 的 能 力 内 置 于 网 络 本 身 ， 因 此 服务 提供 商 可 以 为 租用 者 配置 
一 个 网 络 以 提供 专用 的 IP 网 (如 Intranet 和 Extranet) 服务 ,而 无 须 管理 隧道 。 因为 QoS 
和 MPLS 都 是 基于 标记 的 技术 ， 所 以 Qos 服务 可 与 MPLS VPN 无 颖 结合 ， 为 每 个 VPN 
提供 特有 的 业务 策略 。 而 且 ，MPLS VPN 用 户 能 够 使 用 他 们 专 有 的 P 地 址 上 网 ,无 须 网 
络 地 址 转换 (NAT) 的 帮助 。 
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MPLS VPN 的 工作 原理 如 下 : 

步骤 一 : 网 络 自动 生成 路 由 表 。 标 记分 配 协议 LDP) 使 用 路 由 表 中 的 信息 建立 相 
邻 设备 的 标记 值 、 创 建 标记 交换 路 径 (LSP)、 预 先 设置 与 最 终 目 的 地 之 间 的 对 应 关系 。 

步骤 二 : 将 连续 的 网 络 层 数据 包 看 做 “ 流 ”，MPLS 边界 节点 可 以 首先 通过 传统 的 网 
络 层 数据 转发 方式 接收 这 些 数 据 包 ; 边缘 LSR 通过 一 定 的 标记 分 配 策略 来 决定 需要 哪 种 
第 3 层 服 务 ， 如 QoS 或 带宽 管理 。 基 于 路 由 和 策略 的 需求 ， 有 选择 地 在 数据 包 中 加 入 一 
个 标记 ， 并 把 它们 转发 出 去 。 

步 又 三 ， 当 加 入 标记 的 链 路 层 数 据 包 在 MPLS 域 中 转发 时 ， 就 不 再 需要 经 过 网 络 层 
的 路 由 选择 ， 而 由 标记 交换 路 径 (LSP) 上 的 MPLS 节点 在 链 路 层 通过 标记 交换 进行 转 
Ro LSR 读 取 每 一 个 数据 包 的 标记 ， 并 根据 交换 表 蔡 换 一 个 新 值 ， 直 至 标记 交换 进行 到 
MPLS 边界 节点 。 

步骤 四 : 加 入 标记 的 链 路 层 数据 包 在 将 要 离开 此 MPLS 域 时 ， 有 两 种 情况 : DMPLS 
边界 节点 的 下 一 跳 为 非 MPLS 节点 , 此 时 带 有 标记 的 链 路 层 数 据 包 将 采用 传统 的 网 络 
层 分 组 转发 方法 ， 先 经 过 网 络 层 的 路 由 选择 ， 再 继续 向 前 转发 ， 直 至 到 达 目 的 节点 ; 
@MPLS 边界 节点 的 下 一 跳 为 男 一 MPLS HHJ MPLS 边界 节点 。 此 时 可 以 采用 “标记 栈 ” 
(Label Stack) 技术 ， 使 数据 包 仍然 以 标记 交换 方式 进行 链 路 层 转 发 ， 进 入 邻接 的 
MPLS 域 。 

从 上 面 的 MPLS 工作 原理 可 以 看 出 ，MPLS 用 最 简化 的 技术 来 完成 第 3 层 交 换 向 第 
2 层 交换 的 转换 。 采 用 MPLS 技术 的 网 络 对 于 P 业务 的 转发 ， 既 不 需要 采用 “ 逐 跳 方式 ” 
(Hop-by-Hop) 转发 ， 也 不 再 需要 对 网 络 中 的 所 有 路 由 器 进行 第 3 层 路 由 表 的 查询 ， 而 
只 需要 在 边缘 标记 交换 路 由 器 (ELSR) 上 做 一 次 路 由 表 查 询 ， 就 可 以 给 进入 MPLS 域 的 
IP 包 打上 一 个 标签 。 然 后 ,该 他 包 在 网 络 中 仅 进行 第 2 层 交 换 ， 快 速 转发 到 MPLS 的 
目的 地 端 ， 由 出 口 ELSR 将 其 恢复 成 传统 IP 再 进行 传统 IP 转发 。 此 举 加 快 了 MPLS 
交换 机 查找 路 由 表 的 速度 , 减轻 了 交换 机 的 负担 。 由 此 可 见 ，MPLS 可 以 满足 网 络 高 速 
转发 他 包 的 需求 ， 同 时 它 也 继承 了 ATM 的 QoS 机 制 ， 可 以 满足 用 户 对 不 同 服务 质量 
的 要 求 。 


14.6.3 MPLS VPN 的 优 缺 点 


MPLS 能 够 充分 利用 公用 骨干 网 络 强大 的 传输 能 力 构建 VPN， 它 可 以 大 大 降低 政府 
和 企业 建设 内 部 专 网 的 成 本 ， 极 大 地 提高 用 户 网 络 运营 和 管理 的 灵活 性 ， 同 时 能 够 满足 
用 户 对 信息 传输 安全 性 、 实 时 性 、 宽 频带 和 方便 性 的 需要 。 与 其 他 基于 IP 的 虚拟 专 网 相 
比 ，MPLS 具有 很 多 优点 。 

A) 降低 了 成 本 。MPLS 简化 了 ATM 与 IP 的 集成 技术 ， 使 第 2 层 和 第 3 层 技术 有 
效 地 结合 起 来 ， 降 低 了 成 本 ， 保 护 了 用 户 的 前 期 投资 。 

(2) 提高 了 资源 利用 率 。 由 于 在 网 内 使 用 标签 交换 ， 企 业 各 局 域 子 网 可 以 使 用 重复 
WIP 地址 ， 提 高 了 P 资源 利用 率 。 
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G) 提高 了 网 络 速 度 。 由 于 使 用 标签 交换 ， 缩 短 了 每 一 跳 过 程 中 搜索 地 址 的 时 间 及 
数据 在 网 络 传输 中 的 时 间 ， 提 高 了 网 络 速度 。 

(4) 提高 了 灵活 性 和 可 扩展 性 。 由 于 MPLS 使 用 了 “任意 到 任意 ”(Any to Any) 的 
连接 ， 提 高 了 网 络 的 灵活 性 和 可 扩展 性 。 所 谓 灵 活性 ， 是 指 用 户 可 以 制定 特殊 的 控制 策 
略 ， 以 满足 不 同 用户 的 特殊 需求 ， 实 现 增 值 业 务 ; 所 谓 扩容 性 ， 是 指 同 一 网 络 中 可 以 容 
纳 的 VPN 的 数目 很 容易 得 到 扩充 。 

S) 方便 了 用 户 。MPLS 技术 将 被 更 广泛 地 应 用 在 各 个 运营 商 的 网 络 中 ， 这 给 企业 
用 户 建立 全 球 的 VPN 带 来 了 极 大 的 便利 。 

(6) 安全 性 高 。 采 用 MPLS 作为 通道 机 制 实 现 透明 报 文 传输 ，MPLS 的 LSP 具有 与 
帧 中 继 和 ATM VCC (Virtual Channel Connection， 虚 通道 连接 ) 类 似 的 高 安全 性 。 

(7) 业务 综合 能 力 强 。 网 络 能 够 提供 数据 、 语 音 、 视 频 相 融合 的 能 力 。 

(8) MPLS 的 QoS 保证 。 用 户 可 以 根据 自己 的 不 同业 务 需求 ， 通 过 在 CE 侧 的 配置 
来 赋予 MPLS VPN 不 同 的 QoS 等 级 。 这 种 QoS 技术 既 能 保证 网 络 的 服务 质量 ， 又 能 减 
少 用 户 的 费用 。 

(9) 适用 于 城 域 网 (PAN) 这 样 的 网 络 环境 。 另外， 有 些 大 型 企业 分 支 机 构 众 多 ， 
业务 类 型 多 样 ， 业 务 流向 流量 不 确定 ， 也 特别 适合 使 用 MPLS. 

MPLS VPN 既 具 有 交换 机 的 高 速度 与 流量 控制 能 力 ， 又 具备 路 由 器 的 灵活 性 ， 能 够 
与 IP/ATM 很 好 地 结合 ， 使 ATM 设备 的 投资 得 到 充分 利用 。MPLS 技术 将 交换 机 与 路 由 
器 的 优点 完美 地 结合 在 一 起 。 

但 是 ，MPLS 技术 也 存在 明显 的 不 足 : 

(1) 由 于 ATM 技术 本 身 目前 备 受 争议 ， 所 以 MPLS VPN 的 存在 价值 大 打折 扣 。 

(2) MPLS VPN 与 IP-in-IP VPN, PPTP VPN 一 样 ， 本 身 没有 采用 加 密 机 制 ， 因 此 
MPLS VPN 实际 上 并 不 十 分 安全 。 

AZ, IPSec VPN 是 最 安全 的 协议 ， 其 安全 性 优 于 其 他 类 型 的 VPN。IPSec 与 L2TP 
和 MPLS 并 不 相互 排斥 ， 而 是 可 以 结合 使 用 的 。 在 基于 L2TP BK MPLS 构建 VPN 时 ， 如 
果 需 要 “绝对 ”的 安全 保障 ， 则 可 以 与 IPSec 结合 使 用 。 

除了 以 上 讨论 的 各 种 类 型 的 VPN 之 外 ,还 有 许多 其 他 类 型 的 VPN。 例 如 ,在 RFC2003 
中 还 定义 了 一 种 “IP AY) IP 〈IP-in-IP)” 隧 道 技 术 。 它 常 被 看 做 NAT 技术 的 一 种 变形 。 
IP-in-IP VPN 被 单独 使 用 时 ， 不 提供 任何 加 密 和 认证 。 

最 后 必须 强调 的 是 : 安全 问题 是 一 个 系统 问题 , 不 仅 取决 于 VPN 的 这 些 隧道 协议 自 
身 的 安全 性 ， 还 取决 于 网 络 中 采用 的 其 他 技术 和 设备 的 安全 性 ， 以 及 所 采用 的 物理 安全 
措施 。 

通过 本 章 的 学 习 ， 要 求 读者 掌握 VPN 的 基本 概念 和 分 类 ， 了 解构 建 VPN 的 各 种 隧 
道 协议 ， 掌 握 IPSec VPN. TLS VPN、PPTP VPN 和 MPLS VPN 的 概念 、 工 作 原 理 和 优 
缺点 。IPSec VPN 既 适 合 于 构建 LAN-to-LAN 型 的 VPN 连接 , 也 适合 于 构建 Client-LAN 
型 的 VPN 连接 ;TLS VPN 和 PPTP VPN 则 仅 支 持 Client-LAN 型 的 VPN 连接 ; MPLS VPN 
适用 于 用 户 数 量 众 多 、 流 量 很 大 、 媒 体格 式 多 样 的 城 域 网 应 用 ， 它 也 可 以 与 IPSec VPN 
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结合 起 来 使 用 ， 以 获得 更 高 的 安全 性 。 在 实际 应 用 中 ， 究 竟 选 择 何 种 类 型 的 VPN， 需 要 
根据 企业 或 组 织 的 安全 策略 和 安全 需求 而 定 。 希 望 读 者 能 将 本 章 学 到 的 知识 运用 到 实践 


中 去 。 
J a 

i 填空 题 
1. 根据 访问 方式 的 不 同 ，VPN 可 以 分 为 和 两 种 类 型 。 
2. VPN 的 关键 技术 包括 š š 和 等 。 
3. 第 2 层 隧 道 协议 主要 有 和 3 个 协议 。 
4. 第 3 层 隧道 协议 主要 有 和 3 个 协议 。 
5. IPSec 的 主要 功能 是 实现 加 密 、 认 证 和 密 钥 交换 ， 这 3 个 功能 分 别 由 

和 3 个 协议 来 实现 。 
6. IPSec VPN 主要 由 5 $ ? 和 5 个 模 

块 组 成 。 

7. IPSec 在 OSI 参考 模型 的 层 提供 安全 性 。 

A. 应 用 B. 传输 C. 网 络 D. 数据 链 路 
8. ISAKMP/Oakley 与 相关 。 

A. SSL B. SET C. SHTTP D. IPSec 
9. IPSec 中 的 加 密 是 由 完成 的 。 

A. AH B. TCP/IP C. IKE D. ESP 
10. 在 情况 下 ， 亿 头 才 需要 加 密 。 

A. 信道 模式 B. 传输 模式 

C. 信道 模式 和 传输 模式 D. 无 模式 
二 、 思 考题 
1. 如 何 理解 虚拟 专用 网 络 中 的 “虚拟 ”和 “专用 ”? 
2. 什么 是 VPN? 一 个 好 的 VPN 应 具备 哪些 特点 ? 
3. VPN 的 安全 性 因素 有 哪些 ? 
4. IPSec 有 哪 两 种 工作 模式 ? 如 何 通过 数据 包 格式 区 分 这 两 种 工作 模式 ? 
5. 在 有 IPSec 保护 的 IP 数据 报 中 ,“ 认 证 头 ”(AH) 起 什么 作用 ? 
6. 请 解释 一 下 AH 和 ESP 协议 。 
7. IPSec 和 IKE 的 关系 是 什么 ? 
8. 简 述 TLS VPN 的 工作 原理 ， 并 指出 其 优 缺 点 。 
9. 简 述 PPTP VPN 的 工作 原理 ， 并 指出 其 优 缺 点 。 
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10. 简 述 MPLS VPN 的 工作 原理 ， 并 指出 其 优 缺点 。 
11. 请 制作 一 个 表格 , 详细 比较 IPSec VPN. SSL VPN. PPTP VPN 和 MPLS VPN 的 
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12. 你 认为 IPSec VPN 能 代替 SSL VPN 吗 ? SSL VPN 能 代替 IPSec VPN 吗 ? 为 


13. 画 出 各 类 VPN 在 网 络 拓扑 图 中 所 处 的 位 置 。 
14. 尝试 通过 阅读 文档 , 熟悉 、 配 置 Linus 操作 系统 下 的 VPN 工具 一 一 FreeSWAN。 
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151 ”身份 证 明 


在 充满 竞争 的 现实 社会 中 ， 身 份 欺诈 时 有 发 生 。 为 了 防止 身份 欺诈 ， 常 常 需要 个 人 
身份 认证 。 通 信和 数据 系统 的 安全 性 也 取决 于 能 否 正确 验证 用 户 或 终端 的 个 人 身份 。 例 
如 ， 银 行 的 自动 柜员 机 (Automatic Teller Machine, ATM) 可 将 现金 发 给 经 它 正确 识别 
的 账号 持 卡 人 ， 从 而 提高 银行 的 工作 效率 和 服务 质量 。 计 算 机 的 访问 和 使 用 、 安 全 区 的 
出 入 ， 也 都 以 精确 的 身份 认证 为 基础 。 

传统 的 身份 证 明 一 般 是 通过 检验 “ 物 ” 的 有 效 性 来 确认 该 物 持 有 者 的 身份 。“ 物 ”可 
以 为 徽章 、 工 作证 、 人 信用卡、 驾驶 证 、 身 份 证 、 护 照 等 ， 卡 上 含有 个 人 照片 〈 易 于 换 成 
指纹 、 视 网 膜 图 样 、 牙 齿 的 X 光照 相等 )， 并 有 权威 机 构 签 章 。 过 去 这 类 靠 人 工 进 行 的 
识别 工作 现在 已 逐步 由 机 器 代替 。 在 信息 化 社会 中 ， 随 着 信息 业务 的 扩大 ， 要 求 验证 的 
对 象 集合 也 迅速 加 大 ， 因 而 大 大 增加 了 身份 验证 的 复杂 性 和 实现 的 困难 性 。 例 如 ， 银 行 
自动 转账 系统 中 可 能 有 上 百 万 个 用 户 ， 若 用 个 人 识别 号 〈Personal Identification Number, 
PIN)， 至 少 需要 6 位 十 进 制 数字 。 若 要 用 户 个 人 签字 来 代替 PIN， 必 须 能 区 分 数 以 百 万 
计 的 人 的 签字 。 

目前 ， 一 些 采 用 电子 方式 实现 个 人 身份 证 明 的 方法 均 存 在 安全 风险 。 例 如 ， 从 银行 
的 ATM 机 取款 时 需要 将 信用 卡 和 PIN 送 入 其 中 ; 电话 购 货 需 证 实 信用 卡 的 号 码 ; 用 电 
话 公司 发 行 的 电话 卡 支付 长 途 电话 费 需 验证 4 位 十 进 制 的 PIN; 网 站 登录 时 需 输入 用 户 
的 名 字 和 口令 等 。 但 是 ， 现 实 社会 中 的 攻击 者 常常 使 这 类 简单 的 身份 验证 方法 失效 。 

如 何 实现 安全 、 准 确 、 高 效 和 低 成 本 的 数字 化 认证 ， 是 目前 网 络 安全 实践 中 的 一 个 
热点 。 本 章 将 讨论 几 种 常用 的 身份 认证 技术 ， 如 口令 认证 系统 、 基 于 个 人 生物 特征 的 身 
份 证 明 及 一 次 性 口令 身份 认证 系统 等 。 


15.1.1 身份 欺诈 
下 面 给 出 一 些 例子 ， 说 明 几 种 可 能 的 身份 欺诈 的 方式 。 


1. 象棋 大 师 问 题 (The Chess Grandmaster Problem) 

A 不 懂 象 横 ， 但 可 向 Kasparov 和 Karpov 同时 挑战 ， 在 同一 时 间 和 地 点 〈 不 在 一 个 
房间 ) 进行 对 弈 ， 以 白 子 棋 对 前 者 、 以 黑子 棋 对 后 者 ， 而 两 位 大 师 彼 此 不 交流 , 如 图 15-1 
所 示 。Karpov 持 白 子 棋 先 下 一 步 ，4 记 下 该 步 并 下 同样 一 招 棋 对 付 Kasparov， 而 后 看 
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Kasparov 如 何 下 黑子 棋 ，4 记 下 这 第 二 步 并 下 同样 一 招 棋 对 付 Karpov， 依 此 类 推 。 在 这 
场 博弈 中 ， 是 中 间 人 ， 他 实施 的 就 是 一 种 中 间 人 炊 诈 攻击 。 
Karpov Kasparov 


va A a 
一 / 一 


图 15-1 象棋 大 师 问题 


2. Mafia 欺诈 

A 在 Mafia 集团 成 员 B 开 的 饭馆 吃饭 ，Mafia 集团 另 一 成 员 C 到 的 珠宝 店 购买 珠 
宝 ，B 和 C 之 间 有 秘密 无 线 通信 联络 ，4 入 不 知道 其 中 有 诈 。4 向 B 证 明 4 的 身份 并 
付 账 ，B 通知 C 开始 欺骗 : 4 B 证 明 身 份 ，B 经 无 线 通 知 C，C 以 同样 协议 向 D 证 明 
身份 。 当 DD 询问 C 时 ，C 经 B 向 4 问 同一 问题 ，B 再 将 4 的 回答 告诉 C，C 向 DD 回答 ， 
如 图 15-2 所 示 。 实 际 上 ，B 和 C 起 到 中 间 人 作用 而 完成 4 向 DD 的 身份 证 明 ， 达 到 了 C 
向 轧 购 买 了 珠宝 ， 而 把 账 记 在 4 的 账 上 的 目的 。 这 是 中 间 人 B 和 C 合伙 进行 的 欺诈 。 


无 线 
[er 


图 15-2 中间 人 合伙 欺诈 


3. AF RIE 
假定 C 是 一 名 恐怖 分 子 ，4 要 帮助 C 进入 某国 ，D 是 该 国 移民 局 官员 ,4 和 C 之 间 
用 秘密 无 线 电 联络 ， 如 图 15-3 所 示 。4 协助 CEE D 的 入 境 签证 。 
无 线 


2 o= 


A ea =r SD 
有 全 法 身份 者 AMDF 移民 局 

图 15-3 另 一 种 中 间 人 合伙 欺诈 

这 类 欺诈 攻击 可 以 用 防 电磁 辐射 和 精确 时 截 等 技术 来 抗击 。 


4. 多 身份 欺诈 (Multiple Identity Fraud) 

A 首先 建立 几 个 身份 并 向 外 公布 。 其 中 之 一 他 从 未 用 过 ， 他 以 这 一 身份 作案 ， 并 只 
用 一 次 ， 除 目击 者 (Witness) 外 无 人 知道 犯罪 人 的 个 人 身份 。 由 于 4 不 再 使 用 此 身份 ， 
警方 无 法 跟踪 。 采 用 一 种 身份 证 颁发 机 构 确保 每 人 只 有 一 个 身份 证 , 就 可 抗击 这 类 欺诈 。 


15.1.2 ”身份 证 明 系 统 的 组 成 和 要 求 


身份 证 明 系 统一 般 由 三 方 组 成 :一方 是 出 示 证 件 的 人 ， 称 做 示 证 者 (Prover)， 又 称 
做 申请 者 (Claimant)， 他 提出 某 种 入 门 或 入 网 请 求 ， 另 一 方 为 验证 者 (Verifier)， 检 验 
示 证 者 出 示 证 件 的 正确 性 和 合法 性 ， 决 定 是 否 满足 其 要 求 ， 第 三 方 是 攻击 者 ， 他 可 以 窃 
听 并 伪装 示 证 者 骗取 验证 者 的 信任 。 认 证 系统 在 必要 时 也 会 有 第 四 方 ， 即 可 信者 ， 他 的 
作用 是 参与 调解 纠纷 。 称 此 类 技术 为 身份 证 明 技术 ， 又 称 做 身份 识别 〈Identification )、 
实体 认证 (Entity Authentication)、 身 份 验 证 〈Identity Verification) 等 。 实 体 认 证 与 消息 
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认证 的 差别 在 于 : 消息 认证 本 身 不 具有 时 间 性 ， 而 实体 认证 一 般 都 具有 实时 性 。 此 外 ， 
实体 认证 通常 证 实 实体 本 身 ， 而 消息 认证 除了 证 实 消息 的 合法 性 和 完整 性 外 ， 还 要 知道 
消息 的 含义 。 

对 身份 证 明 系统 的 要 求 如 下 : 

(1) 验证 者 正确 识别 合法 示 证 者 的 概率 极 大 化 。 

(2) 不 具有 可 传递 性 (Transferability)， 验 证 者 B 不 可 能 重用 示 证 者 4 提供 给 他 的 
信息 来 伪装 示 证 者 4 去 骗取 其 他 人 的 验证 而 获取 信任 。 

G) 攻击 者 伪装 示 证 者 欺骗 验证 者 成 功 的 概率 要 小 到 可 以 忽略 的 程度 ， 特 别 是 要 能 
抗击 已 知 密 文 攻击 ， 即 能 防止 攻击 者 在 截获 示 证 者 和 验证 者 多 次 通信 后 伪装 示 证 者 以 欺 
骗 验 证 者 。 

(4) 计算 有 效 性 (为 实现 身份 证 明 所 需 的 计算 量 要 小 )。 

(5) 通信 有 效 性 〈 为 实现 身份 证 明 所 需 通 信 次 数 和 数据 量 要 小 )。 

(6) 秘密 参数 能 安全 存储 。 

(7) 交互 识别 〈 在 有 些 应 用 中 ， 要 求 双方 能 互相 进行 身份 认证 )。 

(8) 第 三 方 的 实时 参与 ， 如 在 线 公 钥 检索 服务 。 

(9) 第 三 方 的 可 信 性 。 

(10) 可 证 明 安全 性 。 

其 中 ，(7) 一 〈10) 是 对 某 些 身份 证 明 系统 所 提出 的 要 求 。 

身份 识别 与 数字 签名 密切 相关 。 数 字 签名 是 实现 身份 识别 的 一 个 途径 ， 但 在 身份 识别 
中 消息 的 语义 基本 上 是 固定 的 , 身份 验证 者 根据 规定 对 当前 时 刻 申请 者 提出 的 申请 或 接受 
或 拒绝 。 身 份 识别 一 般 不 是 “终生 ”的 ， 而 数字 签名 则 应 长 期 有 效 ， 在 未 来 仍 可 启用 。 


15.1.3 ”身份 证 明 的 基本 分 类 


身份 证 明 可 分 为 以 下 两 大 类 。 

a) 身份 验证 。 它 要 回答 这 样 一 个 问题 一 “你 是 否 是 你 所 声称 的 你 ? ” 即 只 对 个 
人 身份 进行 肯定 或 否定 。 一 般 方法 是 ， 在 个 人 信息 输入 后 ， 系 统 将 经 公式 和 算法 运算 所 
得 的 结果 与 从 卡 上 《或 库 中 ) 存储 的 信息 经 公式 和 算法 运算 所 得 结果 进行 比较 ， 根 据 比 
较 结果 得 出 结论 。 

(2) 身份 识别 。 它 要 回答 这 样 一 个 问题 一 “我 是 否 知道 你 是 谁 ? ”一 般 方法 是 : 
在 个 人 信息 输入 后 ， 系 统 将 其 加 以 处 理 后 提取 出 模板 信息 ， 并 试 着 在 存储 数据 库 中 搜索 
出 一 个 与 之 匹配 的 模板 ， 而 后 给 出 结论 。 例 如 ， 确 定 一 个 犯罪 嫌疑 人 是 否 曾 有 前 科 的 指 
纹 检 验 系统 就 是 一 个 身份 识别 系统 。 

显然 ， 身 份 识别 要 比 身份 验证 难得 多 。 读 者 可 以 通过 一 些 实例 仔细 体会 身份 验证 系 
统 和 身份 识别 系统 之 间 存 在 的 差异 。 


15.1.4 ”实现 身份 证 明 的 基本 途径 


身份 证 明 可 以 依靠 下 述 3 种 基本 途径 之 一 或 组 合 实现 ， 如 图 15-4 所 示 。 
(1) 所 知 (Knowledge): 个 人 所 知道 的 或 所 掌握 的 知识 ， 如 密码 、 口 令 等 。 


422 


ens 第 15 章 身份 认证 技术 ED 


(2) 所 有 (Possesses): 个 人 所 具有 的 东西 ， 如 身份 证 、 护 照 、 信 用 卡 、 钥 匙 等 。 
(3) 个 人 特征 (Characteristics): 如 指纹 、 笔 迹 、 声 纹 、 手 型 、 脸 型 、 血 型 、 视 网 膜 、 
虹膜 、 DNA 及 个 人 一 些 动作 方面 的 特征 等 。 


图 15-4 身份 证 明 的 基本 途径 


根据 安全 水 平 、 系 统 通 过 率 、 用 户 可 接受 性 、 成 本 等 因素 ， 可 以 选择 适当 的 组 合 设 
计 实 现 一 个 自动 化 身份 证 明 系 统 。 

身份 证 明 系 统 以 合法 用 户 遭 拒绝 的 概率 〈 即 拒绝 率 (False Rejection Rate, FRR) 或 
虚报 率 ( | 型 错误 率 )) 和 非法 用 户 伪造 身份 成 功 的 概率 ( 即 漏 报 率 (False Acceptance Rate, 
FAR) (I 型 错误 率 )) 作为 服务 质量 评价 指标 。 为 了 保证 系统 有 良好 的 服务 质量 ， 要 求 
| 型 错误 率 要 足够 小 ;为 保证 系统 的 安全 性 ， 要 求 开 型 错误 率 也 要 足够 小 。 这 两 个 指标 
常常 是 相悖 的 ， 应 根据 不 同 的 用 途 进行 适当 的 折 中 选择 ， 如 为 了 安全 (降低 FAR) 牺牲 
一 点 服务 质量 〈 增 大 FRR)。 设 计时 除了 考虑 安全 性 外 ， 还 要 考虑 经 济 性 和 可 用 性 。 


152 ”口令 认证 系统 


15.2.1 概述 


口令 是 一 种 根据 已 知事 物 验证 身份 的 方法 ， 也 是 一 种 被 广泛 使 用 的 身份 验证 方法 。 
在 现实 世界 中 ， 采 用 口令 的 例子 不 胜 枚 举 : 如 中 国 古 代 调 兵 用 的 虎 符 、 阿 里 巴巴 打开 魔 
洞 的 “芝麻 ”密语 、 军 事 上 采用 的 各 种 口令 及 现代 通信 网 的 访问 控制 协议 。 大 型 应 用 系 
统 的 口令 通常 采用 一 个 长 为 5 一 8 个 字符 的 字符 串 。 口 令 的 选择 原则 为 : OF: @ 难 以 
被 别人 猜 中 或 发 现 ;图 能 抵御 蛮 力 破解 分 析 。 在 实际 系统 中 ， 需 要 考虑 和 规定 口令 的 选 
择 方法 、 使 用 期 限 、 字 符 长 度 、 分 配 和 管理 及 在 计算 机 系统 内 的 存储 保护 等 。 根 据 系统 
对 安全 水 平 的 要 求 ， 用 户 可 选择 不 同 的 口令 方案 。 

在 口令 的 选择 方法 上 ，Bell 实验 室 也 做 过 一 些 试验 。 结 果 表 明 ， 让 用 户 自由 选择 自 
己 的 口令 ， 虽 然 易 记 ， 但 往往 带 有 个 人 特点 ， 容 易 被 别人 推测 出 来 。 而 完全 随机 选择 的 
字符 串 又 太 难 记忆 ， 难 以 被 用 户 接受 。 较 好 的 办 法 是 以 可 拼 读 的 字 节 为 基础 构造 口令 。 
例如 ， 若 限定 字符 串 的 长 度 为 8 字符， 在 随机 选取 时 可 有 2.1X 102 MAA, 若 限定 可 拼 
读 时 ， 可 能 的 选取 个 数 只 为 随机 选取 时 的 2.7%， 但 仍 有 5.54X10? 之 多 。 而 普通 英语 大 
词典 中 的 字数 不 超过 2.5X10 个 。 

一 个 更 好 的 办 法 是 采用 通行 短语 (Pass Phrases) HMO, HWA (Key 
Crunching) 技术 ,如 杂凑 函数 , 可 将 易于 记忆 的 足够 长 的 短语 变换 为 较 短 的 随机 性 密 钥 。 

口令 分 发 系统 的 安全 性 也 不 容 忽视 。 口 令 可 由 用 户 个 人 选择 ， 也 可 由 系统 管理 员 选 
定 或 由 系统 自动 产生 。 有 人 认为 ， 用 户 专 用 口令 不 应 让 系统 管理 员 知 道 ， 并 提出 一 种 实 
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现 方法 。 用 户 的 账号 与 他 选 定 的 护 字符 组 合 后 ， 在 银行 职员 看 不 到 的 地 方 输入 系统 ， 通 
过 单 向 加 密 函 数 加 密 后 存 入 银行 系统 中 。 当 访问 系统 时 ， 将 账号 和 口令 通过 单 向 函数 变 
换 后 送 入 银行 系统 ， 通 过 与 存储 的 值 相 比较 进行 验证 。 若 用 户 忘记 了 自己 的 口令 ， 可 以 
再 选 一 个 并 重新 办 理 登 记 手 续 。 当 前 ， 银 行 〈 如 中 国 银行 等 ) 通常 为 用 户 颁发 一 次 性 口 
令 令 牌 ， 用 户 持 令 牌 进行 网 上 银行 的 操作 ， 此 举 使 网 上 银行 的 安全 性 大 大 提高 。 有 关 一 
次 性 口令 系统 的 内 容 将 在 15.4 节 中 进行 详细 介绍 。 

图 15-5 给 出 了 一 种 单 向 函数 检验 口令 框图 。 有 时 系统 需要 双向 认证 ， 即 不 仅 系统 要 
检验 用 户 的 口令 ， 用 户 也 要 检验 系统 的 口令 。 在 这 种 情况 下 ， 如 何 确保 一 方 在 另 一 方 给 出 
口令 之 前 不 会 受到 对 方 的 欺骗 是 一 个 关键 问题 。 图 15-6 给 出 一 种 双方 互 换 口令 的 安全 验 
证 方法 : 甲 、 乙 分 别 以 P、2 作为 护 字符 。 为 了 验证 ， 他 们 彼此 都 知道 对 方 的 口令 ， 并 通 
过 一 个 单 向 函数 广 进行 响应 。 例 如 ， 若 甲 要 联系 乙 ， 甲 先 选 一 随机 数 x 送 给 乙 ， 乙 用 2 
A x R yaf (O. x1) 送 给 甲 ， 甲 将 收 到 的 yi 与 自己 计算 的 f(O, xD 进行 比较 ， 若 相同 ， 则 
验证 了 乙 的 身份 ; 同样 ， 乙 也 可 选 随机 数 x 送 给 甲 ， 甲 将 计算 的 y= 了 (Px) 回 送 给 乙 ， 乙 
将 所 收 到 的 y 与 他 自己 计算 的 值 进行 比较 ， 若 相同 ， 就 验证 了 甲 的 身份 。 


甲 方 乙方 
护 字符 P PERO 
参考 值 O 参考 值 P 
选 出 随机 数 x 一 上 | x, 
yi = nx) 
í 是 / 否 yt? 
Pr Baa SP) BE y1 2 fQ, x) 
nae 选 随机 数 x， 
身份 卡 = VEAP, x) = 9 
/ 护 字 y} LAP, x3) 
= … — 符 表 
/(P):1 
图 15-5 一 种 单 向 函数 检验 口令 框图 15-6 ”一 种 双方 互 换 口令 的 安全 验证 方法 


为 了 解决 因 口 令 短 而 造成 的 安全 性 低 的 问题 ， 常 在 口令 后 填充 随机 数 ， 如 在 16b 
(4 位 十 进 制 数字 ) 护 字 符 后 附加 40b 随机 数 Ri, HIR 56b 数字 序列 进行 运算 ， 形 成 
yf (Q, Ri, x1) (15-1) 
这 会 使 安全 性 大 为 提高 。 
上 述 方法 仍 未 解决 谁 先 向 对 方 提 供 口令 和 随机 数 的 难题 。 
可 变 口令 也 可 由 单 向 函数 来 实现 。 这 种 方法 只 要 求 交换 一 对 口令 而 不 是 口令 表 。 令 
了 为 某 个 单 向 函数 ，x 为 变量 。 定 义 
"FF ) (15-2) 
甲 取 随 机 变量 x， 并 计算 
yo=f (x) (15-3) 
送 给 乙 。 甲 将 y=”(w) 作 为 第 一 次 通信 用 口令 。 乙 收 到 yi 后 计算 fy)， 并 检验 与 yo 是 
否 相 同 ， 若 相同 ， 则 将 y 存 入 备用 。 甲 第 二 次 通信 时 发 yf o. LKE 六 后 ， 计 算 
fv)， 并 检验 是 否 与 yi 相同 ， 依 此 类 推 。 这 样 一 直 可 用 n 次 。 若 中 间 数 据 丢 失 或 出 错 ， 
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甲 可 向 乙 提 供 最 近 的 取 值 ， 以 求 重 新 同步 ， 而 后 乙 可 按 上 述 方法 进行 验证 。 

一 个 更 安全 但 较 费 时 的 身份 验证 方法 是 询问 法 〈Questionaries)。 业 务 受理 者 可 利用 
他 知道 而 别人 不 知道 的 一 些 信 息 向 申请 用 户 进行 提问 。 他 可 提问 一 系列 互 不 相关 的 问题 ， 
如 你 原来 的 中 学 校长 是 谁 ? 祖母 多 大 年 纪 ? 某 作品 的 作者 是 谁 ? 等 。 回 答 不 必 都 完全 正 
确 ， 只 要 足以 证 实用 户 身份 即 可 。 应 选择 一 些 易 于 记忆 的 事务 并 让 验证 者 预先 记 住 。 这 
只 适用 于 安全 性 高 又 允许 耗 时 的 情况 。 


15.2.2 口令 的 控制 措施 


(1) 系统 消息 (System Message). 一般 系统 在 联机 和 脱 机 时 都 显示 一 些 礼貌 性 用 语 ， 
而 成 为 识别 该 系统 的 线索 ， 因 此 这 些 系统 应 当 可 以 抑制 这 类 消息 的 显示 ， 口 令 当然 更 不 
能 显示 。 

(2) 限制 试探 次 数 。 不 成 功 传送 口令 一 般 限 制 为 3 一 6 kK, 超过 限定 试验 次 数 ， 系 统 
将 该 用 户 ID 锁定 ， 直 到 重新 认证 授权 后 再 开启 。 

(3) 口令 有 效 期 。 限 定 口令 的 使 用 期 限 。 

(4) 双 口 令 系 统 。 首先 输入 联机 口令 , 在 接触 敏感 信息 时 还 要 输入 一 个 不 同 的 口令 。 

G) 最 小 长 度 。 限 制 口令 至 少 为 6 一 8B 以 上 ， 防 止 猜 测 成 功 的 概率 过 大 ， 可 采用 掺 
杂 (Salting) 或 采用 通行 短语 (Passphrase) 等 加 长 和 随机 化 。 

(6) 封锁 用 户 系统 。 可 以 封锁 长 期 未 联机 用 户 或 口令 超过 使 用 期 用 户 的 ID 号 , 直到 
用 户 重 新 被 授权 。 

(7) 根 (Root) 口令 的 保护 。 根 口令 是 系统 管理 员 访问 系统 时 所 用 的 口令 ， 由 于 系 
统管 理 员 被 授予 的 权力 远大 于 一 般 用 户 ， 因 此 管理 员 口令 自然 成 为 攻击 者 的 攻击 目标 。 
因此 ， 管 理 员 口令 在 选择 和 使 用 中 要 倍加 保护 。 管 理 员 口 令 通常 必须 采用 十 六 进 制 字符 
串 ， 不 能 通过 网 络 传送 ， 并 且 要 经 常 更 换 。 

(8) 系统 生成 口令 。 有 些 系 统 不 允许 用 户 自己 选 定 口令 ， 而 是 由 系统 生成 和 分 配 。 
系统 如 何 生 成 易 记 忆 又 难以 被 猜 中 的 口令 是 要 解决 的 一 个 关键 问题 ,如果 口 令 难以 记忆 ， 
则 用 户 要 将 其 写 下 来 ， 这 反而 增加 了 口令 泄漏 的 风险 ， 若 系统 的 口令 生成 算法 被 窃 ， 则 
更 加 危险 ， 因 为 这 将 危及 整个 系统 的 安全 。 


15.2.3 口令 的 检验 


1. 反应 法 (Reactive) 

利用 一 个 程序 (Cracker) 让 被 检 口 令 与 一 批 易 于 猜 中 的 口令 表 中 的 成 员 逐 个 比较 ， 
若 都 不 相符 ， 则 通过 。 

ComNet 的 反应 口令 检验 (Reactive Password Checking) 程序 大 约 可 以 猜 出 近 1/2 的 
口令 。Raleigh 等 设计 的 口令 验证 系统 CRACK 利用 网 络 服务 器 分 析 口令 。 美 国 Purdue 
大 学 研制 出 了 OPUS 口令 分 析 选 择 软件 。 

这 类 反应 检验 法 的 缺点 是 : @ 检 验 一 个 口令 太 费 时 间 ， 一 个 攻击 者 可 能 要 用 几 小 时 
甚至 几 天 来 攻击 一 个 口令 ; @ 现 用 口令 都 有 一 定 的 可 猜 性 ， 但 如 果 直 到 采用 反应 检验 后 
用 户 才 更 换 口 令 ， 会 存在 一 定 的 安全 隐患 。 
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2. 支持 法 (Proactive) 

用 户 先 自行 选择 一 个 口令 。 当 用 户 第 一 次 使 用 该 口令 时 ， 系 统 利用 一 个 程序 检验 其 
安全 性 。 如 果 口 令 易 于 猜 中 ， 则 拒绝 登录 ， 并 请 用 户 重 新 选 一 个 口令 。 程 序 通过 准则 要 
考虑 在 可 猜 中 性 与 安全 性 之 间 取 得 折 中 : 若 检验 算法 太 严格 ， 则 造成 用 户 所 选 口令 屡 遭 
拒绝 ， 从 而 招致 用 户 报 怨 ; 如 果 检 验算 法 太 宽松 ， 则 很 易 猜 中 的 口令 也 能 通过 检验 ， 这 
会 影响 系统 的 安全 性 。 


15.2.4 ”口令 的 安全 存储 


1. 一 般 方法 

(1) 用 户 的 口令 多 以 加 密 形式 存储 ， 入 侵 者 要 得 到 口令 ,必须 知道 加 密 算法 和 密 钥 。 
算法 可 能 是 公开 的 ， 但 密 钥 只 有 管理 员 才 知道 。 

(2) 许多 系统 可 以 存储 口令 的 单 向 杂凑 值 ， 入 侵 者 即使 得 到 此 杂凑 值 也 难以 推算 出 
口令 的 明文 。 


2. UNIX 系统 中 的 口令 存储 

口令 为 8 个 字符 ， 采 用 7b ASCII 码 ， 即 Sob $, WE 12b 填充 (一 般 为 用 户 输入 口 
令 的 时 间 信息 )。 第 一 次 输入 64b 全 “0” 数 据 进行 加 密 ， 第 二 次 则 以 第 一 次 加 密 结果 作 
为 输入 数据 ， 迭 代 25 次 ， 将 最 后 一 次 输出 变换 成 11 个 字符 (其 中 ， 每 个 字符 是 A 一 Z， 
a~z, 0~9, “0”, “1” EH 64 个 字符 之 一 ) 作为 口令 的 密 文 ， 如 图 15-7 所 示 。 


64b 用 户 ID | 填充 | 加 密 口令 
全 *0" 数 据 
25 次 
口令 56b | | | 
填充 (12b) |_| DES 最 后 一 次 输出 _ 
加 密 的 口令 


图 15-7 UNIX 系统 中 的 口令 存储 


检验 时 ， 用 户 发 送 ID 和 口令 。UNIX 系统 由 ID 检索 出 相应 填充 值 (12b)， 并 与 口 
令 一 起 送 入 加 密 装置 算出 相应 密 文 ， 与 从 存储 器 中 检索 出 的 密 文 进行 比较 ， 若 一 致 则 通 
3. 用 智能 卡 令 牌 (Token) 产生 一 次 性 口令 


这 种 口令 在 本 质 上 是 由 一 个 随机 数 生成 器 产生 的 ， 可 以 由 安全 服务 器 用 软件 生成 ， 
一 般 用 于 第 三 方 认证 ， 智 能 卡 认证 系统 如 图 15-8 所 示 。 


(3) 用 户 PIN () 用 户 ID 2) 用户 ID 
awk 4 =| =| 
能 牌 Tr [| 
i | lanan E 
J |(4) 生成 OTP (5) 输 入 OTP | | (6) ffi AOTP 
ian =| A [Soar -人 一 | 应 用 程序 | 用 户 证 实 
服务 器 


15-8 智能 卡 认证 系统 
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利用 令 牌 产生 一 次 性 口令 的 优点 是 : 即使 口令 被 攻击 者 截获 也 难以 使 用 ，@ 用 户 
需要 输入 PIN 〈 只 有 持 卡 人 才 知 道 )， 因 此 ， 即 使 令 牌 被 偷 也 难以 用 其 进行 违法 活动 。 

如 美国 Secure Dynamics Inc. 的 Secure ID FAI RSA 公司 的 Secur ID 令 牌 等 ， 均 用 来 
产生 这 类 一 次 性 口令 。 在 后 面 ， 还 会 对 一 次 性 口令 技术 进行 深入 讨论 。 
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在 对 安全 性 要 求 较 高 的 系统 中 , 由 护 字 符 和 持 证 等 方案 提供 的 安全 性 不 能 满足 要 求 ， 
因为 护 字符 可 能 被 泄漏 、 证 件 可 能 丢失 或 被 伪造 。 更 高 级 的 身份 验证 方案 是 根据 被 授权 
用 户 的 个 人 生物 特征 来 进行 认证 ， 这 是 一 种 可 信 度 高 而 又 难以 伪造 的 身份 验证 方法 。 这 
种 方法 早已 用 于 刑事 案件 的 侦破 中 。 自 1870 年 开始 , 法 国人 采用 Bertillon 体制 对 人 的 前 
臂 、 手 指 长 度 、 身 高 、 足 长 等 进行 测试 ， 它 根据 人 体 测 量 学 (Anthropometry) 进行 身份 
验证 。 这 种 方法 比 指纹 还 精确 ， 自 使 用 以 来 还 未 发 现 过 两 个 人 的 数值 完全 相同 的 情况 。 
伦敦 市 警 厅 已 于 1900 年 采用 了 这 一 体制 。 

新 的 生物 统计 学 (Biometrics ) 方 法 正在 成 为 实现 个 人 身份 认证 最 简单 而 安全 的 方法 。 
它 利用 个 人 的 生物 特征 来 实现 身份 认证 。 一 个 人 的 生物 特征 包括 很 多 方面 ， 有 静态 的 ， 
ADAH, MASH. He. RK. Be. BAL FE. HHSC. BAN. BEN. AA. O 
i. APE, PR, WAR ME BHRAT A, SEES TERE EOE 
刺激 下 的 反应 等 。 当 然 ， 所 采用 的 认证 方式 还 要 为 被 验证 者 所 接受 。 有 些 检验 项 目 ， 如 
展 印 、 足 印 等 虽然 认证 率 很 高 ， 但 因 难 于 被 人 们 接受 而 不 能 广泛 使 用 。 有 些 生物 特 征 可 
由 人 工 认证 ， 有 些 则 须 借助 仪器 ， 当 然 ， 不 是 所 有 场合 都 能 采用 生物 特征 识别 的 方式 。 
这 类 物理 认证 还 可 与 报警 装置 配合 使 用 ， 可 作为 一 种 “ 诱 陷 模式 ”(Entrapment Module) 
在 重要 入 口 进行 接 入 控制 ， 使 敌手 的 风险 加 大 。 由 于 个 人 特征 具有 因 人 而 异 和 随身 携带 
的 特点 ， 所 以 它 不 会 丢失 且 难 以 伪造 ， 非 常 适用 于 个 人 身份 认证 。 

有 些 个 人 特征 会 随时 间 变 化 。 验 证 设备 必须 有 一 定 的 容 差 。 容 差 太 小 可 能 导致 系统 
不 能 正确 认 出 合法 用 户 ， 造 成 虚 警 概率 过 大 ; 容 差 太 大 则 可 能 使 敌手 成 为 漏网 之 鱼 。 在 
实际 系统 设计 中 ， 要 在 这 两 者 之 间 做 出 最 佳 折 中 选择 。 有 些 个 人 特征 则 具有 终生 不 变 的 
特点 ， 如 DNA、 视 网 膜 、 虹 膜 、 指 纹 等 。 

目前 ， 这 类 产品 由 于 成 本 较 高 而 尚未 得 到 广泛 采用 ， 但 是 在 一 些 重要 的 部 门 ， 如 银 
行 、 政 府 、 医 疗 、 商 业 、 军 事 、 保 密 、 机 场 等 系统 中 ， 已 经 逐步 得 到 应 用 。 下 面 介 绍 几 
种 研究 较 多 且 具 有 实用 价值 的 身份 验证 体制 。 


15.3.1 手书 签字 验证 
传统 的 协议 、 契 约 等 都 以 手书 签字 生效 。 发 生 争执 时 ， 则 由 法 庭 判决 ， 一 般 都 要 经 
过 专家 鉴定 。 由 于 每 个 人 的 签名 动作 和 字迹 具有 明显 的 个 性 ， 因 此 手书 签名 可 作为 身份 


427 


mm 网络 安全 一 一 技术 与 实践 (第 2 版 ) Cs 


验证 的 可 靠 依据 。 

由 于 形势 发 展 的 需要 ， 机 器 自动 识别 手书 签字 的 研究 得 到 了 广泛 的 重视 ， 成 为 模式 
识别 中 的 重要 研究 课题 之 一 。 机 器 识别 的 任务 有 二 : 一 是 签字 的 文字 含义 ;二 是 手书 的 
字迹 风格 。 后 者 对 于 身份 验证 尤为 重要 。 识 别 可 从 已 有 的 手迹 和 签字 的 动力 学 过 程 中 的 
个 人 动作 特征 出 发 来 实现 。 前 者 为 静态 识别 ， 后 者 为 动态 识别 。 静 态 验 证 根据 字迹 的 比 
例 、 倾 斜 的 角度 、 整 个 签字 布局 及 字母 形态 等 实现 ;动态 验证 根据 实时 签字 过 程 进 行 证 
实 。 这 要 测量 和 分 析 书 写 时 的 节奏 、 笔 画 顺序 、 轻 重 、 断 点 次 数 、 环 、 拐 点 、 斜 率 、 速 
度 、 加 速度 等 个 人 特征 。 英 国 物 理 实验 室 研 制 出 VERISIGN 系统 , 它 采 用 一 种 叫做 CHIT 
的 书写 垫 记录 签字 时 笔尖 的 运动 状况 ， 并 进行 分 析 得 出 结论 。IBM 公司 的 手书 验证 研究 
一 种 采用 加 速度 动态 识别 方法 , 但 分 辨 率 不 高 , 在 增加 了 测量 书写 笔 压力 变化 的 装置 后 ， 
性 能 得 到 了 大 大 改进 。 I 型 错误 率 为 1.7%， 开 型 错误 率 为 0.4%， 目 前 已 有 实用 。Cadix 
公司 为 电子 贸易 设计 了 笔迹 识别 系统 。 笔 迹 识 别 软件 Penop 可 用 于 识别 委托 指示 、 验 证 
公司 审计 员 身 份 及 税收 文件 的 签字 等 ， 并 已 集成 到 Netscape 公司 的 Navigation 和 Adobe 
公司 的 Acrobat Exchange 软件 中 。Penop 成 为 软件 安全 工具 的 新 成 员 ， 它 将 对 Internet 的 
安全 发 挥 重 要 作用 。 

可 能 的 伪造 签字 类 型 有 两 种 ， 一 种 是 不 知 真 迹 时 按 得 到 的 信息 (如 银行 支票 上 印 的 
BAF) 随手 签 的 字 ， 另 一 种 是 已 知 真 迹 时 的 模仿 签字 或 映 描 签字 。 前 者 比较 容易 识别 ， 
而 对 后 者 的 识别 则 相对 困难 。 

签字 系统 作为 接 入 控制 设备 的 组 成 部 分 时 ， 应 先 让 用 户 书 写 几 个 签名 进行 分 析 ， 提 
取 适 当 的 参数 存档 备用 。 对 于 个 别 签字 一 致 性 极 差 的 人 要 特殊 对 待 ， 如 采用 容错 值 较 大 
的 准则 处 理 其 签字 。 


15.3.2 ”指纹 验证 


指纹 验证 早 就 用 于 契约 签证 和 侦察 破案 中 。 由 于 没有 两 个 人 的 指纹 完全 相同 ， 相 同 
的 可 能 性 不 到 10 ", 而 且 指纹 形状 不 随时 间 而 变化 、 提 取 指 纹 作为 永久 记录 存档 又 极为 
方便 ， 因 此 指纹 识别 成 为 进行 身份 验证 的 准确 而 可 靠 的 手段 。 每 根 手 指 的 纹路 可 分 为 两 
KE: 环 状 和 涡 状 。 每 类 又 根据 其 分 叉 等 细节 分 成 S0 一 200 个 不 同 的 图 样 。 通 常 由 专家 
来 进行 指纹 识别 。 近 年 来 ， 许 多 国家 都 在 研究 计算 机 自动 识别 指纹 图 样 。 将 指纹 验证 作 
为 接 入 控制 手段 会 大 大 提高 计算 机 系统 的 安全 性 和 可 靠 性 。 但 由 于 指纹 验证 常 与 犯罪 联 
系 在 一 起 ， 人 们 从 心理 上 不 愿 接受 按 指 纹 。 目 前 ， 由 于 机 器 识别 指纹 的 成 本 已 经 大 大 降 
低 ， 所 以 高 端的 笔记 本 已 经 开始 使 用 指纹 识别 进行 身份 认证 。 

1984 年 ， 美 国 纽约 州 North White Plain 的 Fingermatrix 公司 宣称 其 研制 出 一 种 指纹 
阅读 机 (Ridge Reader) 和 个 人 接触 证 实 (Personal Touch Verification, PTV) 系统 ， 可 用 
于 计算 机 网 络 中 , 参考 文件 库 在 主机 之 中 。 系统 特点 如 下 : @ 阅 读 机 的 体积 约 为 0.028m ， 
内 有 光 扫 描 器 ，@ 新 用 户 注册 需 3 一 5 分 钟 ，@@ 从 一 个 人 的 两 个 手指 记录 图 样 需 两 分 钟 ， 
存储 量 为 500~800 字 节 ; @ 每 次 访问 不 超过 5 秒 ; @ 能 自动 恢复 破损 的 指纹 ; © I 型 错 
误 率 小 于 0.1%; 本 型 错误 率 小 于 0.001%; @@ 可 选择 俘获 和 存储 入 侵 者 的 指纹 。 每 套 
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设备 成 本 为 6000 美元 。Identix 公司 的 产品 Identix System 已 在 四 十 多 个 国家 使 用 ， 包 括 
美国 五 角 大 楼 的 物理 入 口 的 进出 控制 系统 。 

美国 的 FBI 已 成 功 地 将 小 波 理论 应 用 于 压缩 和 识别 指纹 图 样 ， 将 一 个 10Mb 的 指纹 
图 样 压缩 成 500kb， 大 大 减少 了 数 百 万 指纹 档案 的 存储 空间 和 检索 时 间 。 

全 世界 有 几 十 家 公司 经 营 和 开发 新 的 自动 指纹 身份 识别 系统 (AFIS)， 一 些 国 家 已 
经 或 正在 考虑 将 自动 指纹 身份 识别 作为 身份 证 或 社会 安全 卡 的 有 机 组 成 部 分 ， 以 有 效 地 
防止 欺诈 、 假 冒 及 一 人 申请 多 个 护照 等 。 执 法 部 门 、 金 融 机 构 、 证 券 交 易 、 福 利 金发 放 、 
驾驶 证 、 安 全 入 口 控制 等 将 广泛 采用 AFIS. 


15.3.3 语音 验证 


每 个 人 的 语音 都 各 有 其 特点 ， 而 人 对 于 语音 的 识别 能 力 是 很 强 的 ， 即 使 在 强 干扰 下 
也 能 分 辨 出 某 个 熟人 的 语音 。 在 军事 和 商业 通信 中 ， 常 常 根据 对 方 的 语音 实现 个 人 身份 
验证 。 长 期 以 来 ， 人 们 一 直 在 研究 如 何 用 机 器 自动 识别 人 说 话 。 语 音 识别 技术 有 着 广泛 
的 应 用 ， 其 一 就 是 用 于 个 人 身份 验证 。 例 如 ， 将 对 每 个 人 讲 的 一 个 短语 所 分 析出 来 的 全 
部 特征 参数 存储 起 来 ， 如 果 每 个 人 的 参数 都 不 完全 相同 ， 就 可 实现 身份 验证 。 存 储 的 语 
音 特征 称 为 语 声 纹 (Voice-print)。 美 国 Texas 仪器 公司 曾 设计 一 个 16 个 字 集 的 系统 ; FE 
AT&T 公司 为 拨号 电话 系统 研制 了 一 种 语音 口令 系统 (Voice Passsword System, VPS)， 
并 为 ATM 系统 研制 了 智能 卡 系统 。 这 些 系 统 均 以 语音 分 析 技 术 为 基础 。 

德国 汉堡 的 Philips 公司 和 西柏 林 的 Heinrich Hertz 研究 所 合作 研制 了 AUROS 自动 
说 话 人 识别 系统 , 该 系统 利用 语音 参数 实现 实用 环境 下 的 身份 识别 ,I 型 错误 率 为 1.6%, 
开 型 错误 率 为 0.8%。 在 最 佳 状态 下 ， 了 型 错误 率 为 0.87%， 开 型 错误 率 为 0.94%， 明 显 
优 于 其 他 方法 。 美 国 Purdue 大 学 、Threshold Technology 公司 等 都 在 研究 这 类 验证 系统 。 
目前 ， 可 以 分 辩 数 百人 的 语 声 纹 识别 系统 的 成 本 可 降 至 1000 美元 以 下 。 

电话 和 计算 机 的 盗用 是 相当 严重 的 问题 ， 语 声 纹 识别 技术 可 用 于 防止 黑客 进入 语音 
函件 和 电话 服务 系统 。 


15.3.4 视网膜 图 样 验证 


人 的 视网膜 血管 图 样 〈 即 视网膜 脉络 ) 具有 良好 的 个 人 特征 。 采 用 视网膜 血管 图 样 
的 身份 识别 系统 已 在 研制 中 。 其 基本 方法 是 利用 光学 和 电子 仪器 将 视网膜 血管 图 样 记录 
下 来 ， 一 个 视网膜 血管 的 图 样 可 压缩 为 小 于 35B 的 数字 信息 ， 然 后 可 根据 对 图 样 的 节点 
和 分 支 的 检测 结果 进行 分 类 识别 。 被 识别 的 人 必须 充分 合作 ， 人 允许 采样 。 研 究 表明 ， 识 
别 验 证 的 效果 相当 好 。 如 果 注册 人 数 小 于 200 万 ， 其 工 型 和 开 型 识别 的 错误 率 都 为 0， 
所 需 时 间 为 秒 级 ， 在 安全 性 要 求 很 高 的 场合 可 以 发 挥 作用 。 由 于 这 种 系统 的 成 本 较 高 ， 
因此 目前 仅 在 军事 系统 和 银行 系统 中 采用 。 


15.3.5 ”虹膜 图 样 验 证 
虹膜 是 巩膜 的 延长 部 分 , 是 眼球 角膜 和 晶体 之 间 的 环形 薄膜 , 其 图 样 具有 个 人 特征 ， 
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可 以 提供 比 指纹 更 细致 的 信息 。 虹 膜 图 样 可 以 在 35 一 40cm 的 距离 范围 内 采集 ， 比 采集 
视网膜 图 样 更 方便 ， 易 为 人 所 接受 。 存 储 一 个 虹膜 图 样 需要 256B， 所 需 的 计算 时 间 为 
100ms。 其 工 型 和 开 型 错误 率 都 为 /133 000. 可 用 于 安全 入 口 、 接 入 控制 FA. POS, 
ATM、 护 照 等 的 身份 认证 。 美 国 IriScan Inc. 已 研发 出 此 种 产品 。 


15.3.6 ”脸型 验证 


Harmon 等 设计 了 一 种 用 照片 识别 人 脸 轮 廓 的 验证 系统 。 对 100 个 “好 ”对 象 识别 结 
果 正 确 率 达 百 分 之 百 。 但 对 “ 差 ” 对 象 的 识别 要 困难 得 多 ， 要 求 更 细致 的 实验 。 对 于 不 
加 选择 的 对 象 集合 的 身份 验证 几乎 可 达到 完全 正确 。 这 一 研究 还 扩展 到 对 人 耳 形 状 的 识 
别 ， 而 且 耳 形 识别 的 结果 令 人 鼓舞 ， 可 作为 司法 部 门 的 有 力 辅助 工具 。 目 前 有 十 几 家 公 
司 从 事 脸型 自动 验证 新 产品 的 研制 和 生产 。 这 些 产 品 利用 图 像 识 别 、 神 经 网 络 和 红外 扫 
描 探测 人 脸 的 “热点 ”进行 采样 、 处 理 并 提取 图 样 信息 。 目 前 已 开发 出 能 存 入 5000 个 脸 
型 、 每 秒 可 识别 20 人 的 系统 。 未 来 的 产品 可 存 入 100 万 个 脸型 ， 但 识别 检索 所 需 的 时 间 
将 增加 到 两 分 钟 。Microsoft 公司 正在 开发 符合 Cyber Watch 技术 规范 的 Ture Face 系统 ， 
将 用 于 银行 等 部 门 的 身份 识别 系统 中 。Visionics 公司 的 面部 识别 产品 Facelt ARGUS 已 用 
于 网 络 环境 中 ， 其 软件 开发 工具 (SDK) 可 以 集成 到 信息 系统 的 软件 系统 中 ， 作 为 金融 、 
接 入 控制 、 电 话 会 议 、 安 全 监视 、 护 照管 理 、 社 会 福利 发 放 等 系统 的 应 用 软件 。 


15.3.7 ”身份 证 明 系 统 的 设计 


选择 和 设计 实用 身份 证 明 系 统 并 非 易 事 。Mitre 公司 曾 为 美国 空军 电子 系统 部 评价 过 
基地 设施 安全 系统 规划 , 并 分 析 比 较 了 语音 、 手 书签 字 和 指纹 3 种 身份 验证 系统 的 性 能 。 
分 析 表 明 , 选择 评价 这 类 系统 的 复杂 性 需要 从 很 多 方面 进行 研究 。 美国 NBS 的 自动 身份 
验证 技术 的 评价 指南 提出 了 下 述 12 个 需要 考虑 的 问题 : 

A) 抗 欺诈 能 力 。 

(2) 伪造 容易 程度 。 

(3) 对 于 设 陷 的 敏感 性 。 

(4) 完成 识别 的 时 间 。 

(5) 方便 用 户 。 

(6) 识别 设备 及 运营 的 成 本 。 

(7) 设备 使 用 的 接口 数目 。 

(8) 更 新 所 需 时 间 和 工作 量 。 

(9) 为 支持 验证 过 程 所 需 的 计算 机 系统 的 处 理工 作 。 

(10) 可 靠 性 和 可 维护 性 。 

C11) 防护 器 材 的 费用 。 

(12) 分 配 和 后 勤 支援 费用 。 

总 之 ， 设 计 身份 认证 系统 主要 考虑 3 个 因素 : @ 安 全 设备 的 系统 强度 ; OAP RE 
接受 性 ，@ 系 统 的 成 本 。 
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a ”一 次 性 口令 认证 


目前 ， 随 着 人 们 生活 中 信息 化 水 平 的 提高 ， 网 上 支付 、 网 上 划 账 等 网 上 金融 交易 行 
为 随 着 电子 商务 的 展开 越 来 越 普及 ， 大 量 的 重要 数据 存储 在 网 络 数据 库 中 ， 并 通过 网 络 
共享 为 人 们 的 生活 提供 了 方便 ， 但 是 也 带 来 了 巨大 的 信息 安全 隐患 和 金融 风险 。 黑 客 攻 
击 的 主要 技术 有 以 下 几 种 : 缓冲 区 溢出 技术 、 木 马 技 术 、 计 算 机 病毒 〈 主 要 是 宏 病毒 和 
网 络 蠕虫 )、 分 布 式 拒绝 服务 攻击 技术 、 穷 举 攻击 (Brute Force), Sniffer 报 文 截获 等 。 
在 大 部 分 黑客 技术 文献 和 攻击 日 志 中 ， 我 们 发 现 一 个 很 重要 的 相似 特征 : 几乎 没有 多 少 
攻击 行为 是 针对 协议 和 密码 学 算法 的 ， 最 常见 的 攻击 方式 是 窃取 系统 口令 文件 和 窃听 网 
络 连接 ,以 获取 用 户 ID 和 口令 。 大 部 分 攻击 的 主要 目的 是 设法 得 到 用 户 ID 和 用 户 密码 ， 
只 要 获得 用 户 ID 和 密码 ,所 有 敏感 数据 将 暴露 无 遗 。 因 此 ， 必 须 改进 基于 口令 的 登录 和 
验证 方法 ， 以 抵御 口令 窃取 和 搭 线 窃听 攻击 。 

一 次 性 口令 认证 就 是 在 这 一 背景 下 出 现 的 ， 它 的 主要 设计 思路 是 在 登录 过 程 中 加 入 
不 确定 因素 ， 通 过 某 种 运算 (通常 是 单 向 函数 ， 如 MD-5 和 SHA) 使 每 次 登录 时 用 户 所 
使 用 的 密码 都 不 相同 ， 以 此 增强 整个 身份 认证 过 程 的 安全 性 。 

根据 不 确定 因素 的 选择 不 同 ， 一 次 性 口令 系统 可 以 分 为 不 同 的 类 型 。 下 面 将 对 现 用 
的 一 次 性 口令 方案 进行 详细 介绍 。 


15.4.1 挑战 /响应 机 制 
在 挑战 /响应 机 制 中 ， 不 确定 因素 来 自 认证 服务 器 ， 用 户 要 求 登录 时 ， 服 务 器 产生 一 


个 随机 数 〈 挑 战 信息 ) 发 送 给 用 户 ; 用 户 用 某 种 单 向 函数 将 这 个 随机 数 进行 杂凑 后 ， 转 
换 成 一 个 密码 ， 并 发 送 给 服务 器 。 服 务 器 用 同样 的 方法 进行 验算 即 可 验证 用 户 身份 的 合 


挑战 /响应 机 制 认证 流程 如 图 15-9 所 示 。 
服务 器 


eolwleo 


4 = 
用 户 k SS) 
S 


S | 客户 端 


Token 
图 15-9 ”挑战 /响应 机 制 认证 流程 


(1) 用 户 在 客户 端 发 起 认证 请 求 。 
(2) 客户 端 将 认证 请 求 发 往 服务 器 。 
(3) 服务 器 返回 客户 端 一 个 挑战 值 。 
(4) 用 户 得 到 此 挑战 值 。 
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S) 用 户 把 挑战 值 输入 给 一 次 性 口令 产生 设备 〈 令 牌 )。 

(6) 令 牌 经 过 某 一 算法 ， 得 出 一 个 一 次 性 口令 ， 返 回 给 用 户 。 

(7) 用 户 把 这 个 一 次 性 口令 输入 客户 端 。 

(8) 客户 端 把 一 次 性 口令 传送 到 服务 器 端 。 

(9) 服务 器 得 到 一 次 性 口令 后 ， 与 服务 器 端的 计算 结果 进行 匹配 ， 返 回 认 证 结果 。 

(10) 客户 端 根据 认证 结果 进行 后 续 操作 。 

挑战 /响应 机 制 可 以 保证 很 高 的 安全 性 ， 但 该 机 制 存 在 一 些 缺 陷 : 用 户 需 多 次 手工 输 
入 数据 ， 易 造成 较 多 的 输入 失误 ， 使 用 起 来 十 分 不 便 ; 在 整个 认证 过 程 中 ， 客 户 端 和 服 
务 器 信息 交互 次 数 较 多 ; 挑战 值 每 次 都 由 服务 器 随机 生成 ， 使 得 服务 器 开销 过 大 。 


15.4.2 口令 序列 机 制 


口令 序列 (S/key) 机 制 是 挑战 /响应 机 制 的 一 种 实现 ， 原 理 如 下 。 

在 口令 重 置 前 ， 人 允许 用 户 登录 次， 那么 主机 需要 计算 出 F(x)， 并 保存 该 值 ， 其 中 
下 为 一 个 单 向 函数 。 用 户 第 一 次 登录 时 ， 需 提供 Fa). BRT (Fr,_1(x))， 并 验证 是 
BEF F(x)。 如 果 通 过 ， 则 重新 存储 1(x)。 下 次 登录 时 ， 则 验证 Fox), PILE. 
为 方便 用 户 使 用 ， 主 机 把 FSF (x) 计算 出 来 ， 编 成 短语 ， 打 印 在 纸 条 上 。 用 户 只 
需 按 顺 序 使 用 这 些 口令 登录 即 可 。 需 要 注意 的 是 ， 纸 条 一 定 要 保管 好 ， 不 可 遗失 。 由 于 
n 是 有 限 的 ， 用 户 用 完 这 些 口令 后 ， 需 要 重新 生成 新 的 口令 序列 。 

该 机 制 的 致命 弱点 在 于 它 只 支持 服务 器 对 用 户 的 单方 面 认 证 ， 无 法 防范 假冒 的 服务 
器 欺骗 合法 用 户 。 另 外 一 个 缺点 是 ， 当 迭代 值 递减 为 0 或 用 户 的 口令 泄漏 后 ， 则 必须 对 
S/key 系统 重新 进行 初始 化 。 


15.4.3 时间 同 步 机 制 


基于 时 间 同 步 机 制 的 令 牌 把 当前 时 间作 为 不 确定 因素 ， 从 而 产生 一 次 性 口令 。 

用 户 注 册 时 ， 服 务 器 会 分 发 给 用 户 一 个 密 钥 〈 内 置 于 令 牌 中 )， 同 时 服务 器 也 会 在 数 
据 库 中 保存 这 个 密 钥 。 对 于 每 一 个 用 户 来 说 ， 密 钥 是 唯一 的 。 当 用 户 需 要 身份 认证 时 ， 
令 牌 会 提取 当前 时 间 ， 和 密 钥 一 起 作为 杂凑 算法 的 输入 ， 得 出 一 个 口令 。 由 于 时 间 在 不 
断 变化 ， 其 口令 也 绝 不 会 重复 。 用 户 将 口令 传 给 服务 器 后 ， 服 务 器 运行 同样 的 算法 ， 提 
取 数 据 库 中 用 户 对 应 的 密 钥 和 当前 时 间 ， 算 出 口令 ， 与 用 户 传 过 来 的 口令 匹配 ， 然 后 将 
匹配 结果 回 传 给 用 户 。 图 15-10 就 是 基于 时 间 同 步 机 制 的 一 次 性 口令 认证 过 程 。 


3 4 
用 户 6 5 


Uh ZPN 


Token 
图 15-10 基于 时 间 同 步 机 制 的 一 次 性 口令 认证 过 程 
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(1) 用 户 需要 登录 ， 启 动 令 牌 。 

(2) 令 牌 显示 出 当前 时 间 对 应 的 一 次 性 口令 。 

G) 用 户 把 令 牌 产生 的 口令 输入 到 客户 端 。 

(4) 客户 端 把 口令 传 到 服务 器 ， 服 务 器 进行 认证 。 

(5) 服务 器 把 认证 结果 回 传 给 客户 端 。 

(6) 客户 端 把 认证 结果 显示 出 来 。 

时 间 同 步 机 制 的 优点 是 : 用 户 使 用 简单 、 方 便 ， 不 需要 像 挑 战 /响应 机 制 那样 频繁 地 
输入 数据 ;一 次 认证 的 通信 量 小 ， 通 信 效 率 高 ， 服 务 器 的 计算 量 不 是 很 大 。 

但 是 时 间 同 步 机 制 要 求 用 户 的 手持 令 牌 和 服务 器 的 时 钟 偏差 不 能 太 大 ， 所 以 对 设备 
的 时 钟 精度 要 求 比较 高 ， 设 计 成 本 较 高 。 为 此 ， 在 服务 器 端 设置 一 个 窗口 ， 例 如 ， 如 果 
令 牌 的 时 间 单 位 是 1 分 钟 ， 即 令 牌 上 的 密码 1 分 钟 改变 1 次 ， 这 时 候 考虑 到 令 牌 时 钟 和 
服务 器 时 钟 的 偏差 ， 服 务 器 端 在 进行 认证 的 时 候 ， 可 以 把 时 间 窗 口 设置 得 略 大 一 些 ， 服 
务 器 可 以 计算 出 该 用 户 对 应 的 前 1 分 钟 、 当 前 分 钟 、 后 1 分 钟 的 3 个 口令 ， 所 以 只 要 用 
户 传 过 来 的 口令 是 这 3 个 口令 中 的 任意 一 个 ， 服 务 器 都 会 通过 认证 。 


15.4.4 事件 同步 机 制 


事件 同步 机 制 又 名 计数 器 同步 机 制 。 基 于 事件 同步 的 令 牌 将 不 断 变 化 的 计数 器 值 作 
为 不 确定 因素 ， 从 而 产生 一 次 性 口令 。 下 面 分 两 个 方面 对 事件 同步 机 制 进行 介绍 。 

1. 事件 同步 机 制 的 认证 过 程 

用 户 注册 时 ， 服 务 器 会 产生 一 个 密 钥 Key (Key 是 唯一 的 ) 和 一 个 已 初始 化 的 计数 
器 (下 文中 用 Counter 代表 计数 器 的 值 )， 并 一 起 注入 到 用 户 手持 的 令 牌 中 ， 同 时 服务 器 
保存 Key 和 Counter 到 数据 库 中 。 当 用 户 需 要 身份 认证 时 ， 用 户 触发 令 牌 上 的 按钮 ， 令 
牌 中 的 Counter 加 1， 和 预先 注入 的 Key 一 起 作为 一 个 杂凑 函数 的 输入 ， 生 成 一 个 口令 ; 
用 户 把 这 个 口令 发 送 给 服务 器 ， 服 务 器 端 根据 用 户 名 在 数据 库 中 找到 相应 的 Key 和 
Counter， 用 同样 的 杂 凌 函数 进行 运算 ， 将 产生 的 结果 和 用 户 发 送 过 来 的 口令 相 匹配 ， 然 
后 返回 认证 结果 。 如 果 认 证 成 功 ， 服 务 器 端的 Counter 值 加 1， 否 则 Counter 不 变 。 


2. 事件 同步 机 制 的 重 同步 方法 

事件 同步 机 制 的 一 个 明显 不 足 就 是 用 户 和 服务 器 端 很 容易 失去 同步 ， 例 如 ， 用 户 不 
小 心 或 故意 按 了 令 牌 上 的 按钮 ， 但 不 进行 认证 ， 令 牌 的 Counter 就 会 加 1。 由 于 服务 器 上 
的 Counter 还 是 原来 的 值 ， 因 此 服务 器 和 令 牌 就 失去 了 同步 。 为 了 解决 这 个 问题 ， 服 务 
器 端 设 置 了 一 个 窗口 值 (ewindow)， 当 用 户 使 用 令 牌 产生 一 次 性 口令 登录 服务 器 时 ， 服 
务 器 会 在 此 窗口 范围 内 逐一 匹配 用 户 发 送 过 来 的 口令 ， 只 要 在 窗口 内 的 任何 一 个 值 匹配 
成 功 ， 服 务 器 就 会 返回 认证 成 功 信息 ， 并 且 更 改 数据 库 中 的 计数 器 值 ， 使 服务 器 和 令 牌 
再 次 同步 。 令 牌 重 同步 过 程 如 图 15-11 所 示 。 

显然 ， 出 于 安全 性 的 考虑 ， 这 个 ewindow 的 值 不 能 设置 得 太 大 ， 如 果 产 生 的 一 次 性 
口令 是 6 位 十 进 制 数 ， 这 个 值 的 范围 最 好 是 5 一 10 之 间 。 但 是 还 有 一 种 极端 情况 : 用 户 
把 令 牌 当成 了 玩具 , 不 停 地 去 触发 事件 , 使 令 牌 的 Counter 远 远 超 前 于 服务 器 的 Counter， 
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这 样 ，ewindow 就 失去 了 效用 ， 就 要 依靠 另外 一 个 窗口 值 (window) 来 重 同 步 。rwindow 
和 ewindow 一 样 ， 也 规定 了 窗口 范围 ， 不 过 这 个 窗口 要 比 ewindow 的 窗口 大 得 多 (对 6 
位 十 进 制 口令 来 说 ,这 个 窗口 的 值 大 概 在 50 一 100 之 间 )。 如 果 用 户 令 牌 上 的 计数 器 超出 
了 ewindow 的 范围 ， 但 还 没有 超出 rwindow 的 范围 ， 这 时 服务 器 会 启用 rwindow 机 制 : 
用 户 只 要 连续 输入 两 个 在 rwindow 范围 内 的 一 次 性 口令 ， 验 证 也 会 成 功 ; 但 是 如 果 用 户 
不 停 地 把 玩 令 牌 ， 使 令 牌 的 Counter 超过 了 rwindow 的 范围 ， 那 就 别 无 他 法 ， 用 户 只 能 
拿 着 相关 证 件 去 注册 中 心 办 理 重 同步 业务 了 。 

事件 同步 机 制 类 似 于 时 间 同 步 机制 ， 用 户 操作 简单 ;一 次 认证 过 程 通信 量 小 ， 可 以 
防止 小 数 攻 击 ， 服 务 器 计算 量 稍 大 ; 系统 实现 比较 简单 ， 对 设备 的 时 钟 精度 没有 要 求 。 


认证 是 否 成 功 ? 


是 _| 更 新 计数 器 ， 返 
认证 成 功 信息 


认证 次 数 是 否 小 于 等 于 32 


启动 rwindow 内 认证 ， 提 示 用 j 
输入 两 个 连续 一 次 性 口令 


15-11 令 牌 重 同步 过 程 


15.4.5 ” 几 种 一 次 性 口令 实现 机 制 的 比较 


以 上 介绍 了 几 种 当前 比较 流行 的 一 次 性 口令 实现 机 制 ， 下 面 对 这 几 种 机 制 在 认证 过 
程 中 的 通信 量 、 系 统 实现 复杂 度 、 机 制 安全 性 和 服务 器 计算 量 等 几 个 方面 做 出 比较 ， 如 
表 15-1 所 示 。 

表 15-1 一 次 性 口令 实现 机 制 的 比较 
系统 实现 复杂 度 机 制 安全 性 
较 简 单 较 差 
较 简 单 


机 
挑战 /响应 
S/key 
时 间 同 步 
事件 同步 


AR 15-1 中 可 以 看 出 ， 时 间 同 步 和 事件 同步 的 优势 比较 明显 ， 目 前 市 场 上 很 多 公司 


服务 器 计算 量 
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的 产品 采用 的 大 都 是 基于 时 间 同 步 和 事件 同步 的 方案 。 


_ 入 ”基于 证 书 的 认证 


15.5.1 简介 


近年 来 ， 人 们 越 来 越 多 地 使 用 基于 数字 证 书 的 认证 机 制 。FIPS-196 标准 对 基于 证 书 
的 认证 操作 进行 了 详细 的 说 明 。 通 过 第 3 章 的 学 习 ， 我 们 已 经 知道 ， 在 PKI 中 ， 服 务 器 
和 客户 机 要 验证 对 方 的 数字 证 书 才 可 以 进行 相互 认证 。 

基于 证 书 的 认证 机 制 比 基于 口令 的 认证 机 制 更 加 安全 ， 因 为 这 种 认证 是 靠 “ 用 户 拥 
有 某 种 东西 ”而 不 是 靠 “ 用 户 知道 什么 ”来 实现 认证 的 。 登 录 时 ， 用 户 要 通过 网 络 向 服 
务 器 发 送 证 书 (与 登录 请 求 一 起 发 送 )。 服 务 器 中 有 证 书 的 副本 ， 可 以 用 于 验证 证 书 是 否 
有 效 。 但 是 ， 认 证 的 过 程 并 非 如 此 简单 。 这 里 存在 冒 用 他 人 证 书 进行 登录 的 问题 。 例 如 ， 
在 Alice 不 知情 的 情况 下 ，Bob 把 Alice 的 证 书 (其实 就 是 一 个 计算 机 文件 ) 复制 到 其 存 
ENA CU HE) 上 ， 然 后 以 Alice 的 身份 登录 服务 器 。 

可 以 看 出 ， 这 里 存在 的 主要 安全 问题 是 滥用 别人 的 证 书 。 在 实际 应 用 中 ， 如 何 防 止 
证 书 的 滥用 问题 呢 ? 要 解决 这 个 问题 ， 就 必须 把 基于 证 书 的 认证 变 成 双 因 子 认 证 。 也 就 
是 说 ， 要 在 基于 证 书 的 认证 基础 上 ， 加 上 基于 口令 的 认证 。 

15.5.2 ”基于 证 书 认证 的 工作 原理 

基于 证 书 的 认证 过 程 分 为 以 下 几 个 步 又 。 

1. 生成 、 存 储 与 发 布 数字 证 书 

CA 为 每 个 用 户 生 成 数字 证 书 ， 并 将 其 发 给 相应 的 用 户 。 此 外 ， 服 务 器 数据 库 中 以 


二 进 制 格式 存储 证 书 的 副本 ， 以 便 用 户 登 录 时 验证 用 户 的 证 书 。 用 户 证 书 的 生成 、 存 储 
与 发 布 过 程 如 图 15-12 所 示 。 


服务 器 
= 证 书 
mea 一 > 证 书 | => 
r 
证 书 机 构 (CA) 
D 用 户 数据 库 
4 ID Pubic Key Validity.… 
aan > Jyoti 159010191 June 2003 
证 书 | =e) Amar 415901617 May 2003 
Atul 615019191 July 2003 
给 每 个 用 户 ve sed Aa 


15-12 ”数字 证 书 的 生成 、 存 储 与 发 布 过 程 


2. 用 户 发 出 登录 请 求 
在 登录 服务 器 时 ， 用 户 发 送 用户 名 和 数字 证 书 至 服务 器 ， 如 图 15-13 所 示 。 
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3. 服务 器 随机 生成 挑战 值 


当 服务 器 收 到 用 户 的 用 户 登 录 请 求 时 ， 首 先 验证 Q CEE > 她 
证 书 ， 检 查 用 户 是 否 有 效 。 如 果 无 效 ， 则 向 用 户 返回 SS a ee 
出 错 信息 ， 如 果 用 户 名 有 效 ， 则 服务 器 生成 一 个 随机 OT 
挑战 值 ， 并 将 其 返回 给 用 户 。 随 机 挑战 值 可 以 以 明文 
形式 传送 到 用 户 计算 机 ， 如 图 15-14 所 示 。 


第 1 步 :服务 器 按照 数据 库 验 证 用 户 名 


ID=atul 


用 户 认证 程序 > 
L > Jyoti 159010191 
< 用 户 名 有 效 Amar4159011617 


Atul 615019191 


图 15-13 登录 请 求 


ID Public Key 


用 户 数据 库 
第 2 步 :服务 器 牛 成 一 个 随机 挑战 值 | 


生成 一 个 随机 
SRA 
tJ 随机 挑战 信 生 成 程序 > | 


C EERE ED 


第 3 步 :服务 器 将 随机 挑战 值 发 送 


=! MENA $ 


15-14 ”服务 器 生成 随机 挑战 值 并 发 给 用 户 


4. 用 户 对 随机 挑战 值 签 名 

在 用 户 收 到 来 自 服务 器 的 挑战 值 后 ， 用 户 就 用 其 私 钥 对 该 挑战 值 签 名 。 因 此 ， 用 户 
要 访问 存储 介质 中 的 私 钥 文件 。 但 是 ， 私 钥 文 件 不 是 任何 人 都 可 以 访问 的 。 实 际 上 ， 可 
以 使 用 口令 来 限制 对 私 钥 文件 的 访问 ， 从 而 保护 私 钥 。 因 此 ， 只 有 当 用 户 输入 正确 的 口 
令 时 ， 才 能 打开 私 钥 文件 ， 如 图 15-15 所 示 。 

用 户 输入 正确 口令 后 ， 应 用 程序 打开 用 户 的 私 钥 文件 ， 并 用 此 私 钥 对 挑战 值 进行 签 
名 。 实 际 上 ， 正 确 的 做 法 是 在 签名 运算 之 前 对 挑战 值 进行 杂凑 运算 ， 以 获得 固定 长 度 的 
杂凑 值 ， 再 对 杂凑 值 进行 签名 ; 然后 ， 用 户 计算 机 将 此 签名 发 送 给 服务 器 。 以 上 过 程 如 
图 15-16 所 示 ， 为 了 叙述 简单 ， 图 15-16 中 省 略 了 杂凑 运算 的 步 又 。 


E 


用 户 | 
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第 ! 步 : 用 户 计算 机 用 用 户 的 私 钥 将 随机 挑战 值 
加 密 ， 以 生成 数字 签名 


生 


容 户 机 服务 器 
8102811291012 SS 
U 原始 随机 挑战 值 
im KS] 私 钥 文 件 
90184112124832 用 户 的 数字 签名 
第 2 步 : 用 户 计算 机 将 数字 签名 作为 登录 请 求 的 
o 一 部 分 发 送 给 服务 器 
访问 私 钥 客户 机 服务 器 
Ars > Ed 
全 二 ID=atul 
OK Cancel Sign=90184112124832 D 
图 15-15 ”输入 正确 的 口令 打开 私 钥 文件 图 15-16 用 户 计算 签名 


服务 器 在 收 到 用 户 签名 后 ， 立 即 对 签名 进行 验证 。 为 此 ， 服 务 器 首先 应 从 用 户 数据 
库 中 取得 用 户 的 公 铀 ， 再 用 此 公 钥 验证 此 签名 ， 并 恢复 出 挑战 值 。 最 后 ， 服 务 器 比较 恢 
复 的 挑战 值 与 原先 发 送 给 用 户 的 挑战 值 (实际 上 是 比较 两 个 挑战 值 的 杂凑 值 ) 是 否 相同 。 
以 上 过 程 如 图 15-17 所 示 。 


第 1 步 : 服务 器 的 用 户 认 证 程序 从 用 户 数据 库 中 获得 用 户 公 钥 


ID=atul 


l 公 钥 检索 ID Public Key 
D a Jyoti 159010191 
& A Amar 415901617 
服务 器 615019191 Atul 615019191 
用 户 数据 库 
第 2 步 : 服务 器 用 用 户 的 公 钥 验证 签名 并 恢复 随机 挑战 值 的 杂 凌 值 
签名 验证 程序 对 随机 挑战 值 的 签名 
90184112124832 
《RE 4 
服务 器 8102811291012 || 615019191 Pritts 
OA 
8102811291012 


第 3 步 : 服务 器 将 这 两 个 已 加 密 的 随机 挑战 值 进行 比较 


PAN 
Ed AESAC > AA 
D 
服务 器 恢复 值 | 8102811291012 
原始 值 | 8102811291012 
< 成 功 成 功 


图 15-17 ”服务 器 比较 两 个 挑战 值 的 杂 凌 值 
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5. 服务 器 向 用 户 返 回 相应 的 消息 
最 后 ， 根 据 上 述 验证 是 否 通过 ， 服 务 器 向 用 户 返 回 相应 的 消息 ， 以 通知 用 户 操作 是 
否 成 功 ， 如 图 15-18 所 示 。 


Bl KO 图 
客户 机 。 | Tew Balance, | 服务 器 


2. Transfer money 


图 15-18 服务 器 向 用 户 返 回 认 证 结果 


156 ”智能 卡 技 术 及 其 应 用 


令 牌 为 个 人 持 有 物 ， 可 用 其 进行 用 户 的 身份 认证 。 用 户 也 可 以 持 磁卡 和 智能 卡 进行 
身份 认证 。 通 常 把 这 些 卡 称 为 身份 卡 ， 简 称 ID 卡 。 早 期 的 磁卡 是 一 种 嵌 有 磁 条 的 塑 卡 ， 
WALA 2 一 3 个 磁道 ， 记 录 有 关 个 人 信息 ， 用 于 机 器 读 入 识别 。 它 由 高 强度 、 耐 高 温 的 
塑料 制 成 , 防潮 、 耐 磨 、 和 柔韧 、 便 于 携带 。 发 达 国家 在 20 世纪 60 年 代 就 开始 在 各 类 ATM 
上 推广 使 用 信用 卡 。 国 际 标准 化 组 织 曾 对 卡 和 磁 条 的 尺寸 布局 提出 建议 。 卡 的 作用 类 似 
于 钥匙 ， 用 来 开启 电子 设备 ， 这 类 卡 常 与 个 人 识别 号 PN) 一 起 使 用 。 当 然 ， 最 好 将 
PIN 记 在 心里 而 不 要 写 出 来 ， 但 对 某 些 拥有 多 种 卡 的 用 户 来 说 ， 要 记 住所 有 卡 的 PIN 也 
不 容易 。 

这 类 卡 易于 制造 ， 且 磁 条 上 记录 的 数据 易于 被 转录 ， 因 此 应 设法 防止 卡 的 复制 。 人 
们 已 发 明了 许多 “安全 特征 ”以 改进 智能 卡 的 安全 性 ， 如 采用 水 印花 纹 或 在 磁 条 上 添加 
永久 不 可 擦 掉 的 记录 , 用 以 区 分 真 伪 , 使 敌手 难以 仿制 。 也 可 采用 夹层 带 (Sandwich Tape) 
的 卡 ， 这 种 卡 将 高 矫 顽 磁 性 层 和 低 矫 顽 磁 性 层 粘 在 一 起 ,使 低 矫 顽 磁 性 层 靠 近 记 录 磁 头 。 
记录 时 用 强力 磁头 ， 使 上 下 两 层 都 录 有 信号 ; 而 读 出 时 ， 先 产生 一 个 消 磁场 ， 洗 掉 表面 
低 矫 顽 磁性 层 上 的 记录 ， 但 对 高 矫 奖 磁性 层 上 记录 的 记号 无 影响 。 这 种 方案 可 以 防止 用 
普通 磁带 伪造 塑 卡 ， 也 可 防止 用 一 般 磁 头 在 偷 得 的 卡 上 记录 伪造 数据 。 但 这 种 卡 的 安全 
性 不 高 ， 因 为 高 强 磁 头 和 高 矫 顽 磁 带 并 非 太 难得 到 。 信 用 卡 缺 少 有 效 的 防伪 和 防盗 等 安 
全 保护 措施 ， 全 世界 的 发 卡 公 司 和 金融 系统 每 年 都 因 安 全 事件 而 造成 巨大 损失 。 因 此 ， 
人 们 开始 研究 和 使 用 更 先进 、 更 安全 和 更 可 靠 的 IC 卡 。 

IC 卡 又 称 有 源 卡 〈Active Card) 或 智能 卡 〈Smart Card)。 它 将 微 处 理 器 芯片 嵌 在 塑 
卡 上 代替 无 源 存储 磁 条 。IC 卡 的 存储 信息 量 远 大 于 磁 条 的 250B， 且 有 处 理 功 能 。IC 卡 
上 的 处 理 器 有 4KB 的 程序 和 小 容量 EPROM， 有 的 甚至 有 液晶 显示 和 对 话 功 能 。 智 能 卡 
的 工作 原理 框图 如 图 15-19 所 示 。 

智能 卡 的 安全 性 比 无 源 卡 有 了 很 大 提高 , 因为 敌手 难以 改变 或 读 出 卡 中 所 存 的 数据 。 
在 智能 卡 上 有 一 存储 用 户 永 久 性 信息 的 ROM, 在 断 电 情况 下 信息 不 会 消失 。 每 次 使 用 卡 
进行 的 交易 和 支出 总 额 都 被 记录 下 来 , 因而 可 确保 不 能 超支 。 卡 上 的 中 央 处 理 器 对 输入 、 
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输出 数据 进行 处 理 。 卡 中 存储 器 的 某 些 部 分 信息 只 由 发 卡 公司 掌握 和 控制 。 通 过 中 央 处 
理 器 ， 智 能 卡 本 身 就 可 检验 用 卡 人 所 提供 的 任何 密码 ， 将 它 同 储 于 秘密 区 的 正确 密码 进 
行 比较 ， 并 将 结果 输出 到 卡 的 秘密 区 中 ， 秘 密 区 还 存 有 持 卡 人 的 收 支 账 目 ， 以 及 由 公司 
选 定 的 一 组 字母 或 数字 编号 ， 用 以 确定 其 合法 性 。 存 储 器 的 公开 区 存 有 持 卡 人 姓名 、 住 
址 、 电 话 号 码 和 账号 ， 任 何 读 卡 机 都 可 读 出 这 些 数据 ， 但 不 能 改变 它 。 系 统 的 中 央 处 理 
机 也 不 会 改变 公开 区 内 的 任何 信息 。 人 们 正在 研究 如 何 将 更 强 的 密码 算法 嵌入 智能 卡 系 
统 ， 进 行 认证 、 签 字 、 杂 次、 加 /解密 运算 ， 以 增强 系统 的 安全 性 。 


PROM 公开 区 
计算 中 间 持 卡 人 姓名 | 内 容 不 保密 
TRR + P|] SS | 
RAM =| ROM( 永 久 -一 re 
aa a ad 工作 区 
示 iat yar 
FALI eal 购 货 日 期 | 保密 
键盘 用 本 卡 购 | 控制 下 读 写 
货 总 额 控制 下 读 写 
电源 秘密 区 
R| r E BEAMS | tarp 
i | | 制造 厂 代码 | Tana 
算 | ARREA E 序列 号 i 
向 | || wee ke Fr 持 卡 人 不 
。 购 货 记 录 信用 卡 发 售 | 直接 接触 
= 时 间 ， 账 目 | 此 区 
收 支 情 况 
操作 系统 


15-19 智能 卡 的 工作 原理 框图 


智能 卡 发 行 时 都 要 经 过 个 人 化 (Personalization) BRAD Initialization) 阶段 ， 其 
具体 内 容 因 卡 的 种 类 不 同和 应 用 模式 不 同 而 异 。 发 卡 机 构 根 据 系 统 设计 要 求 将 应 用 信息 
(如 发 行 代码 等 ) 和 持 卡 人 的 个 人 信息 写 入 卡 中 , 使 该 智能 卡 成 为 持 卡 人 的 专 有 物 ， 并 用 
于 特定 的 应 用 模式 。 一 般 IC 卡 的 个 人 化 有 以 下 几 方 面 的 内 容 : @ 软 、 硬 件 逻 辑 的 格式 化 ; 
@ 写 入 系统 应 用 信息 和 个 人 有 关 信息 ; @ 在 卡 上 印 制 持 卡 人 名 称 、 发 行 机 构 的 名 称 、 持 
卡 人 的 照片 等 。 

现在 ，IC 卡 已 经 广泛 地 应 用 于 电子 货币 、 电 子 商 务 、 劳 动 保险 、 医 疗 卫生 等 对 安全 
性 要 求 更 高 的 系统 中 。 除 了 银行 系统 外 ， 在 付费 电视 系统 中 也 有 应 用 。 付 费 广播 电视 系 
统 每 20s 改变 一 次 加 密 电视 节目 信号 的 密 钥 ， 用 这 类 智能 卡 可 以 同步 地 更 换 解密 密 钥 ， 
以 正常 收看 加 密 频 道 的 节目 。 随 着 智能 卡 的 存储 容量 和 处 理 功 能 的 进一步 加 强 ， 它 将 成 
为 身份 认证 的 一 种 工具 ， 可 进一步 扩大 其 应 用 范围 ， 如 制作 电子 护照 、 二 代 身 份 证 、 公 
交 一 卡通 、 校 园 一 卡通 、 电 话 /电视 计 费 卡 、 个 人 履历 记录 、 电 子 门禁 系统 等 。 在 不 久 的 
将 来 ， 个 人 签字 、 指 纹 、 视 网 膜 图 样 等 信息 就 可 能 存 入 智能 卡 ， 成 为 身份 验证 的 更 有 效 
手段 。 未 来 的 智能 卡 所 包含 的 个 人 信息 将 越 来 越 多 ， 人 们 将 智能 卡 作为 高 度 个 人 化 的 持 
证 来 实施 身份 认证 。 
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智能 卡 的 安全 涉及 许多 方面 ， 如 芯片 的 安全 技术 、 卡 片 的 安全 制造 技术 、 软 件 的 安 
全 技术 及 安全 密码 算法 和 安全 可 靠 协议 的 设计 。 智 能 卡 的 管理 系统 的 安全 设计 也 是 其 重 
要 组 成 部 分 ， 对 智能 卡 的 管理 包括 制造 、 发 行 、 使 用 、 回 收 、 丢 失 或 损坏 后 的 安全 保障 
及 补 发 等 。 此 外 ， 智 能 卡 的 防 复制 、 防 伪造 等 也 是 实际 工作 中 要 解决 的 重要 课题 。 

目前 ， 全 球 生产 制造 IC 卡 的 公司 很 多 。 据 统计 ， 国 内 生产 IC 卡 的 公司 有 二 百 多 家 ， 
国外 的 主要 厂商 有 23 家 ， 销 量 最 大 的 要 属 荷兰 的 恩 智 浦 (NXP) 公司 、 德 国 的 英 飞 凌 
(Infineon) 公司 、 瑞 士 的 LEGIC 公司 等 。 我 国 IC 卡 的 发 行 量 已 经 达到 9.39 亿 张 ， 其 中 
9 亿 多 张 为 非 接触 式 卡 ，2100 万 多 张 为 接触 式 卡 。2008 年 2 月 ， 荷 兰 政府 发 布 了 一 项 警 
告 ， 指 出 目前 广泛 应 用 的 恩 智 浦 公司 生产 的 Mifare RFID 产品 被 破解 。 德 国学 者 Henryk 
Plotz 和 弗吉尼亚 大 学 的 在 读 博士 Karsten Nohl 宣称 破解 了 Mifare Classic 的 加 密 算法 。 在 
第 24 届 黑 客 大 会 (Chaos Communications Congress) 上 ,两 人 介绍 了 Mifare Classic 的 加 
密 机 制 , 并 且 首 次 公开 宣布 针对 Crypto-1 的 破解 分 析 方 法 , 他 们 展示 了 破解 Mifare Classic 
的 手段 。Nohl 在 一 篇 针对 Crypto-1 加 密 算法 进行 分 析 的 文章 中 声称 ， 利 用 普通 的 计算 机 
在 几 分 钟 之 内 就 能 够 破解 出 Mifare Classic 的 密 钥 , 同时 还 表示 他 们 将 继续 致力 于 这 个 领 
域 的 深入 研究 。 由 于 我 国 的 很 多 信息 系统 均 采 用 了 恩 智 浦 公司 的 Mifare 卡 ， 因 此 该 卡 的 
破解 也 对 我 国 很 多 采用 Mifare 卡 的 系统 构成 了 严重 的 安全 威胁 ,此 事件 已 经 引起 我 国 各 
相关 部 门 的 高 度 重视 。 


157 AAA 认证 协议 与 移动 IP 技术 


移动 IP 技术 是 为 了 实现 TCP/IP 网 络 用 户 全 方位 、 跨 安全 域 移动 或 漫游 而 采用 的 通 
信 技 术 。 采 用 移动 IP 技术 , 移动 用 户 可 以 在 基于 TCP/IP 的 网 络 中 随意 跨 域 移动 和 漫游 ， 
不 用 修改 计算 机 原来 的 IP 地 址 就 可 继续 享有 原 网 络 中 的 一 切 服务 权 限 。 

移动 IP 网 络 中 的 节点 有 3 种 类 型 : 移动 节点 (Mobile Node, MN)、 所 属地 代理 (Home 
Agent, HA) 和 外 地 代理 (Foreign Agent, FA). 移动 IP 网 络 架 构 示意 图 如 图 15-20 所 示 。 


15-20 移动 人 PP 网 络 架构 示意 图 
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MN 为 从 所 属地 网 络 移动 到 外 地 网 络 的 便携 式 终端 。 在 MN 移动 到 外 地 网 络 后 ， 依 
然 使 用 所 属地 网 络 的 IP 地 址 进行 通信 。HA 是 所 属地 网 络 中 的 代理 服务 器 ， 它 保存 有 
MN 的 位 置信 息 。 当 MN 移动 到 外 地 网 络 时 ，HA 能 够 将 发 往 MN 的 数据 包 转 发 给 MN, 
并 解析 MN 发 回 的 数据 包 , 转发 给 相应 的 通信 节点 。FA 是 外 地 网 络 中 的 代理 服务 器 , 它 
能 够 将 HA 送 来 的 数据 包 转 发 给 MN， 并 作为 外 地 网 络 中 移动 终端 的 默认 路 由 器 。 

移动 耻 ABR: 基于 IPv4 的 移动 IPv4 及 基于 IPv6 的 移动 Pv6。 有 关 两 种 移动 IP 
的 工作 机 制 请 参见 相关 文献 。 移 动 IP 的 安全 问题 主要 集中 在 两 个 方面 ，Q@ 移动 节点 注 
册 开 始 前 各 个 实体 间 会 话 密 钥 的 分 发 ， 以 及 彼此 之 间 安 全 关联 的 建立 ; @ 移动 节点 注册 
过 程 中 轻 量 级 保密 与 认证 协议 的 设计 与 应 用 。 将 移动 IP 技术 与 AAA (Authentication, 
Authorization, Accouting) 技术 相 结合 ， 可 以 解决 移动 IP 的 认证 、 授 权 及 计 费 问题 ， 为 实 
现 移动 卫 技术 的 大 规模 商业 化 应 用 葛 定 安全 基础 。 


15.7.1 AAA 的 概念 及 AAA 协议 


早期 的 AAA 的 概念 是 为 了 解决 电话 接 入 用 户 的 身份 认证 、 授 权 和 计 费 而 提出 的 。 
随 着 Intemet 的 发 展 ，IETF 工作 组 对 原 AAA 协议 进行 了 改进 ， 提 出 了 RADIUS, 
DIAMETER 等 新 的 AAA 协议 。 下 面 对 AAA 的 基本 概念 及 其 主流 协议 加 以 介绍 。 


1. AAA 的 基本 概念 

认证 (Authentication》 是 网 络 运营 商 在 允许 用 户 使 用 网 络 资源 前 对 用 户 身 份 进行 验 
证 的 过 程 。 授 权 〈Authorization) 定义 了 在 用 户 通 过 认证 之 后 可 以 享受 的 服务 。 计 费 
(Accounting) 记录 了 用 户 使 用 资源 的 详细 信息 ， 这 些 原 始 信息 可 以 用 来 生成 计 费 账单 或 
进行 审计 。 图 15-21 给 出 了 一 个 典型 的 AAA 应 用 体系 结构 。 远 程 用 户 通过 电话 线 与 网 络 
接 入 服务 器 (NAS) 连接 ， 向 NAS 提出 接 入 请 求 。NAS 接收 这 个 请 求 ， 然 后 把 用 户 的 
有 关 信息 封装 在 NAS 消息 包 中 ， 发 送 给 AAA 服务 器 ， 由 AAA 服务 器 对 这 个 请 求 进行 


认证 ， 并 返回 相应 的 允许 信息 或 拒绝 信息 。 


AAA 服务 器 


15-21 AAA 应 用 体系 结构 


441 


mm 网 络 安全 一 一 技术 与 实践 (第 2 版 ) Eee 


AAA 这 种 分 布 式 结构 由 服务 器 来 完成 认证 、 授 权 和 计 费 工作 ， 大 大 减轻 了 网 关 的 压 
力 ， 能 够 处 理 大 量 的 用 户 请 求 ， 支 持 多 种 计 费 功能 ， 可 以 对 用 户 进行 有 效 的 控制 ， 因 而 
具有 较 强 的 生命 力 ， 在 接 入 网 中 有 着 广泛 的 应 用 。 


2. RADIUS 协议 

RADIUS (Remote Access Dial-in User Sevice) 是 为 了 在 NAS 和 RADIUS 服务 器 之 
间 传 递 认证 、 授 权 和 配置 信息 而 设计 的 。 它 最 初 的 设计 思路 是 为 电话 接 入 访问 服务 的 。 
NAS 通过 Modem 池 或 其 他 接口 与 外 界 相连 .用户 通过 这 些 接口 进入 网 络 分 享 信息 和 资源 。 

RADIUS 实现 了 对 通过 这 些 接口 进入 的 用 户 进行 身份 识别 、 授 权 和 计 费 功能 。 这 个 
协议 基于 客户 /服务 器 模式 ，NAS 作为 RADIUS 的 客户 端 运行 ， 它 负责 将 用 户 的 信息 传 
递 给 指定 的 RADIUS 服务 器 ， 并 将 服务 器 的 回应 返回 给 用 户 ， 并 为 客户 返回 所 有 为 用 户 
提供 服务 所 必需 的 配置 信息 。 它 还 可 以 为 其 他 RADIUS 服务 器 或 其 他 种 类 的 认证 服务 器 
提供 代理 ， 在 RADIUS 服务 器 和 NAS 之 间 共 享 一 对 密 钥 ， 它 们 之 间 的 通信 受到 这 对 密 
钥 的 保护 ， 同 时 提供 一 定 的 完整 性 保护 ; 对 于 一 些 敏感 信息 (如 用 户口 令 ), 还 提供 了 机 
密 性 保护 。 

RADIUS 服务 器 能 支持 多 种 认证 用 户 的 方法 ， 当 用 户 提 供 了 用 户 名 和 原始 密码 后 ， 
RADIUS 服务 器 可 以 支持 点 对 点 的 PAP 认证 (PPP PAP)， 点 对 点 的 CHAP 认证 (PPP 
CHAP)， 以 及 UNIX 的 登录 操作 (UNIX Login) 和 其 他 认证 。 

RADIUS 的 基本 特征 有 如 下 两 个 。 

(1) 采用 客户 /服务 器 (Client/Server) 结构 。 通 常情 况 下 ，NAS 作为 RADIUS 客户 
端 和 RADIUS 服务 器 进行 通信 。 而 RADIUS 服务 器 还 可 以 扮演 代理 服务 器 的 角色 ,可 以 
把 一 个 认证 或 计 费 请 求 转发 给 另 一 个 RADIUS 服务 器 。 

(2) 采用 属性 方式 增加 功能 。RADIUS 消息 中 使 用 属性 来 携带 AAA 信息 。 常 见 的 
属性 有 用 户 名 、 用 户口 令 、 封 装 协议 、 端 口号 、 应 用 类 型 等 。RADIUS 通过 增加 属性 的 
方式 来 使 RADIUS 有 更 强 的 功能 , 这 种 方式 使 得 RADIUS 可 以 方便 地 对 已 有 的 系统 进行 
扩充 以 增加 新 的 功能 ， 这 大 大 增强 了 系统 的 可 扩展 性 。 


3. DIAMETER 协议 

随 着 网 络 技术 的 发 展 和 应 用 需求 的 增长 ， 新 的 网 络 服务 不 断 涌现 ， 用 户 需 要 一 种 安 
全 的 方式 接 入 网 络 ， 网 络 也 要 对 用 户 访问 网 络 资源 授权 并 进行 计 费 。 目 前 ， 这 种 AAA 
服务 是 由 RADIUS 或 TACACS+ 提 供 的， 但 是 这 些 协 议 是 为 拨号 用 户 设计 的 ， 无 法 有 效 
地 为 新 的 业务 提供 AAA 服务 。 

针对 RADIUS 的 不 足 , IETF 的 AAA 工作 组 从 20 世纪 90 年 代 末 期 开始 着 手 设 计 下 
一 代 的 AAA 协议 DIAMETER. DIAMETER 定义 了 一 种 AAA 的 体系 结构 ， 它 由 一 个 基 
本 协议 和 一 组 扩展 协议 组 成 (如 强 安全 性 安全 扩展 、Mobile IP 扩展 和 PPP 漫游 扩展 等 )。 
通用 的 功能 (如 传输 控制 和 流量 控制 ) 在 基本 协议 中 定义 ， 而 特定 的 应 用 功能 在 相应 的 
扩展 中 进行 说 明 。DIAMETER 基本 协议 提供 了 AAA 协议 所 需 的 最 基本 要 求 ， 基 本 协议 
不 能 单独 使 用 ， 必 须 与 DIAMETER 应 用 扩展 相 结合 才能 使 用 。 

图 15-22 描述 了 逻辑 上 的 DIAMETER 的 框架 结构 。Mobile IP 扩展 为 Mobile IP 用 户 
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提供 AAA 服务 ， 漫 游 扩展 为 漫游 的 PPP 用 户 提供 认证 和 计 费 支持 ，Mobile IP, PPP 漫 
游 等 应 用 的 扩展 协议 建立 在 基本 协议 之 上 。 


4. RADIUS 与 DIAMETER 比较 

RADIUS 协议 是 在 20 世纪 90 年 代 初期 设计 的 。 — Ler a i 
随 着 Intemet 的 飞速 发 展 ， 路 由 器 和 NAS 在 数量 上 和 | aan 强 安全 性 扩展 
复杂 性 上 都 有 了 很 大 的 提高 ， 各 种 新 的 网 络 服务 也 不 图 1522 DIAMETER 的 框架 结构 
断 出 现 ， 使 得 RADIUS 越 来 越 不 适应 现在 的 网 络 。 主 
要 表现 在 以 下 几 个 方面 。 

(1) 可 携带 的 属性 数据 的 长 度 太 短 

在 RADIUS 中 ,包头 的 长 度 段 只 有 1B， 这 就 大 大 限制 了 一 个 RADIUS 消息 包 的 长 
度 。 随 着 网 络 的 复杂 化 和 服务 的 多 样 化 ， 用 户 的 认证 信息 越 来 越 多 ， 这 意味 着 AAA Hp 
议 信 息 包 中 需要 携带 更 多 的 信息 。 

(2) 同时 等 待 认证 的 用 户 数 最 多 为 255 个 

一 个 用 户 提 出 请 求 后 ， 在 得 到 回复 之 前 有 一 段 等 待 时 间 ， 在 这 段 时 间 内 ， 用 户 处 于 
等 待 状态 , RADIUS 通过 给 用 户 分 配 一 个 ID 号 来 识别 同一 时 刻 不 同 的 等 待 用户 , 但 是 用 
来 标识 ID 号 的 字段 只 有 8b， 这 就 限制 了 同时 等 待 回复 的 用 户 数 只 有 255 个 ， 这 在 某 些 
大 型 网 络 中 是 远 远 不 能 满足 要 求 的 。 

(3) 无 法 控制 到 服务 器 的 流量 

RADIUS 是 使 用 UDP 进行 数据 传输 的 ， 而 UDP 没有 流量 控制 ，RADIUS 对 此 也 没 
有 进行 扩展 ， 随 着 用 户 数量 的 增加 ， 服 务 器 的 负担 越 来 越 重 ， 没 有 流量 控制 机 制 ， 将 会 
造成 大 量 的 认证 、 计 费 请 求 涌 向 服务 器 ， 造 成 服务 器 的 瘫痪 ， 从 而 影响 网 络 的 稳定 性 和 
可 靠 性 。 

(4) 无 重 传 过 程 和 错误 恢复 支持 

RADIUS 的 客户 端 在 一 段 时 间 之 内 没有 收 到 回复 时 ， 可 以 重 发 原来 的 请 求 。 但 是 ， 
服务 器 端 没 有 重 发 机 制 。 如 果 服 务 器 的 回复 丢失 ， 即 使 客户 端的 请 求 正确 到 达 了 ， 也 必 
须 重新 发 送 一 个 请 求 。 

(5) 客户 /服务 器 模式 的 协议 

RADIUS 采用 客户 /服务 器 模式 ， 其 缺点 是 服务 器 端 只 能 被 动 地 回答 客户 端的 请 求 ， 
而 不 能 主动 发 起 一 个 认证 过 程 ， 这 也 大 大 限制 了 客户 端 和 服务 器 端的 通信 能 力 。 

(6) 安全 性 差 

RADIUS 只 对 用 户 的 口令 部 分 进行 加 密 ， 而 且 无 法 防止 重 放 攻击 ;另外 ，RADIUS 
支持 代理 功能 ， 即 允许 一 个 RADIUS 服务 器 把 一 个 请 求 转发 给 另 一 个 RADIUS 服务 器 。 
但 是 ， 在 这 种 情况 下 ，RADIUS 只 支持 点 到 点 的 安全 性 ， 即 中 间 的 每 一 个 代理 RADIUS 
服务 器 都 有 能 力 对 用 户 的 认证 、 计 费 信息 进行 修改 ， 这 也 是 一 个 很 大 的 安全 隐患 。 

DIAMETER 协议 是 IETF 为 了 解决 RADIUS 的 不 足 而 设计 的 , 它 在 RADIUS 的 基础 
之 上 增加 了 新 的 功能 ， 更 能 满足 网 络 接 入 和 应 用 需求 ， 主 要 表现 在 以 下 几 方 面 。 

(1) 轻 量 级 而 且 易于 实现 。 DIAMETER 基本 协议 的 目标 是 为 各 种 应 用 扩展 协议 提供 


Mobile IP 扩 展 
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安 人 全、 可靠、 快速 的 传输 平台 ， 因 此 必须 是 轻 量 级 的 和 易于 实现 的 。 

(2) 大 的 属性 数据 空间 。 在 DIAMETER 中 , 数据 对 象 是 封装 在 AVP (Attribute Value 
Pair) 中 的 ，AVP 用 来 传输 用 户 的 认证 信息 和 授权 信息 、 交 换 用 以 计 费 的 资源 使 用 信息 、 
中 继 代 理 和 重 定向 DIAMETER 消息 包 等 。 随 着 网 络 的 复杂 化 ，DIAMETER 消息 包 所 要 
携带 的 信息 越 来 越 多 ， 因 此 属性 空间 一 定 要 足够 大 才能 满足 未 来 大 型 复杂 网 络 的 需要 。 

(3) 支持 同步 的 大 量 用 户 的 请 求 。 随 着 网 络 规模 的 扩大 ，AAA 服务 器 要 求 同 时 处 理 
大 量 的 用 户 的 请 求 , 这 要 求 NAS 端 能 保存 大 量 等 待 认证 结果 的 用 户 的 接 入 信息 , RADIUS 
的 255 个 同步 请 求 显然 是 不 够 的 , DIAMETER 中 定义 了 同时 支持 2” 个 用 户 的 接 入 请 求 。 

(4) 可 靠 的 传输 机 制 和 错误 恢复 机 制 。 DIAMETER 要 求 能 够 控制 重 传 策略 ， 这 一 点 
在 NAS 切换 到 一 个 备用 DIAMETER 服务 器 时 更 加 重要 。DIAMETER 还 支持 窗口 机 制 ， 
这 要 求 每 个 会 话 方 动态 调整 自己 的 接收 窗口 ， 以 免 发 送 超出 对 方 处 理 能 力 的 请 求 。 

虽然 DIAMETER 和 RADIUS 有 很 大 的 不 同 ， 但 是 作为 一 个 完善 的 认证 协议 ， 
RADIUS 还 是 有 很 多 值得 DIAMETER 借鉴 的 东西 ;作为 一 个 还 处 于 草案 阶段 的 协议 ， 
DIAMETER 还 有 很 多 方面 需要 进行 改进 。 


15.7.2 移动 IP 5 AAA 的 结合 


1. 移动 IP 下 的 AAA 模型 

具有 移动 IP 的 AAA 服务 器 如 图 15-23 所 示 。AAAF 和 AAAH 完成 认证 功能 ，FA 
和 HA 完成 授权 和 计 费 功能 。 当 一 个 移动 节点 MN 漫游 到 外 地 域 时 ， 需 要 在 外 地 域 中 进 
行 注册 。 在 初始 注册 过 程 中 , MN 需要 访问 AAAH, AAAH 对 移动 节点 的 证 书 进行 验证 ; 
认证 成 功 后 ，FA 得 到 授权 继续 处 理 移动 节点 的 注册 过 程 。 初 始 的 AAA 事务 不 需要 HA 
的 参与 , 但 移动 P 要 求 HA 和 FA 处 理 随后 的 每 一 个 注册 过 程 ， 如 图 15-23 中 虚线 所 示 。 
要 使 HA 和 FA 能 够 处 理 以 后 的 注册 过 程 ， 这 意味 着 在 初始 注册 过 程 中 ， 通 信 各 实体 之 
间 要 执行 一 系列 的 协议 。 在 初始 注册 过 程 完成 后 ，AAAF 和 AAAH 就 不 再 参与 交互 ， 随 
后 的 注册 过 程 只 需 沿 着 图 15-23 中 的 虚线 路 径 进行 即 可 。 


AAAF AAAH 


安全 关联 


<- RiR 
AAAF=Foreign Authority 
AAAH=Home Authority 


15-23 ”具有 移动 人 P 的 AAA 服务 器 


任何 由 FA 通过 AAAF 送 往 AAAH 的 移动 全 数据 对 AAA 服务 器 来 说 都 是 不 透明 的 。 
AAA 服务 器 所 需要 的 授权 数据 都 必须 由 FA 传送 给 它们 , 这 些 授 权 数 据 由 MN 提供 。 FA 
为 一 个 在 移动 卫 注册 协议 和 AAA 之 间 的 转换 代理 。 
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对 于 不 同 域 中 的 两 个 节点 之 间 交 换 的 数据 ， 需 要 采取 一 定 的 措施 来 保证 它们 的 安全 
性 ， 这 通过 对 称 或 非 对 称 的 密码 算法 来 实现 。 

为 了 保证 随后 的 注册 过 程 的 安全 性 ，AAA 服务 器 必须 在 初始 移动 IP 注册 过 程 中 进 
行 密 钥 的 分 配 。 这 些 分 配 的 密 钥 可 以 提供 必要 的 安全 功能 。 


2. AAA 下 的 移动 IP 注册 

为 了 保证 注册 过 程 中 交互 的 信 令 消息 的 安全 , AAA 方案 要 求 通信 实体 之 间 预 先 建立 
4 个 安全 关联 。 这 4 个 安全 关联 分 别 为 : 

e AAAF 与 AAAH 共享 的 安全 关联 (SA1)。 

o AAAF 与 FA 共享 的 安全 关联 (SA2)。 

e AAAH 与 HA 共享 的 安全 关联 (SA3)。 

。 AAAH 与 MN 共享 的 安全 关联 (SA4)。 

在 认证 及 注册 之 后 ，AAA 过 程 已 经 结束 。MN、FA 和 HA 之 间 开 始 执 行 移动 IP 操 
作 ，AAAF 和 AAAH 不 再 参与 。 为 了 确保 在 认证 之 后 FA、HA、MN 之 间 传 递 的 移动 PP 
消息 的 安全 性 ，AAAH 要 在 认证 过 程 中 为 它们 分 发 3 个 会 话 密 钥 (Session Key)， 以 便 
它们 在 两 两 之 间 建 立 安全 关联 。 这 3 个 共享 的 会 话 密 钥 分 别 为 : 

。 MN 与 HA 共享 的 密 钥 (KaaA)。 

e MN 与 FA 共享 的 密 钥 (Ka)。 

e FA 与 HA 共享 的 密 钥 (Krana)。 

移动 IP 的 认证 注册 过 程 如 图 15-24 所 示 ， 具 体 步 又 如 下 。 


MN FA AAAF AAAH HA 
(1) Adv&Challenge 
(2) Request 


(3) FRR 
(4) FRR 
(5) HOR 


(6) HOA 
(7) FRA 


|a ORA | FRR: Foreign-Registration-Request Commamd 
(9) Reply FRA: Foreign-Registration-Answer Command 

HOR: Home-Agent-MIP-Request Command 

HOA: Home-Agent-MIP-Answer Command 


图 15-24 Bay IP 的 认证 注册 过 程 


A) MN 进入 外 地 域 ， 开 始 监听 FA 的 路 由 广播 消息 ， 并 根据 消息 中 的 地 址 前 级 , 结 
合 接口 标识 ， 生 成 转交 地 址 COA。 

(2) MN 将 包含 身份 标识 NAI (user@realm)、 注 册 请 求 及 密码 等 认证 数据 的 请 求 消 
息 发 送 给 FA。 

G) FA 根据 消息 中 的 随机 数 或 时 间 戳 判断 消息 是 否 新 鲜 。 如 果 新 鲜 ，FA 将 提取 出 
NAI、 密 码 、 所 属地 等 信息 ， 重 新 封装 成 AAA 请 求 消息 FRR， 并 将 FRR 发 送 给 AAAF. 
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(4) AAAF 收 到 FRR 消息 后 ， 首 先 利 用 与 FA 共享 的 安全 关联 SA2 验证 消息 是 否 来 
自 真 正 的 FA， 如 果 验 证 成 功 ， 将 该 消息 转发 给 AAAH 服务 器 进行 MN 身份 认证 。 

(5) AAAH 利用 SAL 验证 收 到 的 FRR 消息 是 否 来 自 合法 的 AAAF。 若 验证 成 功 ， 
则 根据 NAI 和 用 户 认 证 数据 验证 用 户 身份 是 否 合法 。 如 果 确 为 合法 用 户 , AAAH 提取 出 
注册 请 求 消息 并 嵌入 HOR 消息 中 ， 发 送 给 HA 进行 绑 定 更 新 ， 并 根据 要 求 分 发 MN 的 
会 话 密 钥 。 

(6) HA 对 MN 绑 定 更 新 成 功 后 ， 生 成 注册 应 答 消 息 ， 将 其 封装 在 HOA 消息 中 , 返 
回 给 AAAH。 

(7) AAAH 把 注册 应 答 和 用 户 认证 授权 信息 封装 成 FRA 消息 ， 转 发 给 AAAF。 

(8) FRA 消息 中 包含 认证 结果 。 如 果 对 MN 的 身份 认证 成 功 ， 则 AAAF 将 MN 相 
关 信息 《如 会 话 密 钥 等 ) 添加 到 缓存 中 ;同时 将 FRA 转发 给 FA。 

(9) FA 将 嵌入 在 FRA 消息 中 的 注册 应 答 消息 发 送 给 MN。 若 认证 是 成 功 的 ， 则 FA 
将 允许 MN 享受 网 络 服 务 。 

认证 注册 过 程 主 要 完成 了 以 下 任务 : OWE MN 的 身份 ， 并 根据 认证 结果 对 MN 授 
权 ; @ 保 护 注册 消息 的 安全 ， 并 按 注 册 请 求 消息 中 的 内 容 更 新 MN 绑 定 列表 ; ON FA, 
HA、MN 之 间 分 配 会 话 密 钥 。 


J3 a 

一 、 选 择 题 
1. 确定 用 户 身 份 的 技术 称 为 A 

A. 认证 B. 授权 c. 保密 D. 访问 控制 
2. 是 最 常用 的 认证 机 制 。 

A. 智能 卡 B. PIN C. 生物 特征 识别 D. 口令 
3. 是 认证 令 牌 随机 性 的 基础 。 

A. 口令 B. 种 子 C. 用 户 名 D. 杂凑 函数 
4. 基于 口令 的 认证 是 认证 。 

A. 单 因子 B. 双 因 子 C. 三 因子 D. 四 因子 
5. 基于 时 间 的 令 牌 中 的 可 变 因 子 是 

A. 种 子 B. 随机 挑战 值 ”C. 当前 的 时 间 D. 计数 器 值 
6. 基于 事件 的 令 牌 中 的 可 变 因子 是 

A. 种 子 B. 随机 挑战 值 C. 当前 的 时 间 D. 计数 器 值 
7. 生物 认证 基于 

A. 人 的 特性 B. 口令 C. 智能 卡 D. PIN 
8. 在 认证 中 ， 只 有 一 方 认证 另 一 方 。 

A. 单 向 B. 双向 C. BFR ARN D. 基于 身份 的 
二 、 简 答题 


1. 在 实际 应 用 中 ， 人 们 对 身份 认证 系统 的 要 求 有 哪些 ? 
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. 身份 证 明 系 统 可 以 分 为 哪 两 类 ? 它们 之 间 有 什么 区 别 ? 
. 什么 是 口令 认证 ? 请 简 述 这 种 方式 的 优 缺 点 。 
. 什么 是 一 次 性 口令 ? 实现 一 次 性 口令 有 哪 几 种 方案 ? 请 简 述 它们 的 工作 原理 。 
. 如 何 解决 基于 时 间 机 制 令 牌 的 失 步 问题 ? 
. 如 何 解 决 基于 事件 机 制 令 牌 的 失 步 问题 ? 
. 动态 口令 令 牌 有 哪 两 种 类 型 ? 它们 的 工作 原理 有 何不 同 ? 
. 基于 生物 特征 的 身份 识别 有 哪 几 种 ? 与 其 他 身份 认证 相 比 , 它们 有 哪些 优 缺 点 ? 
. 请 画 一 个 表格 ， 详 细 比 较 各 种 一 次 性 口令 认证 方案 的 优 缺 点 。 
10. 移动 P 的 安全 问题 集中 在 哪 两 个 方面 ? 移动 IP 与 AAA 结合 主要 解决 的 问题 是 
什么 ? 
11. 移动 IP 的 网 络 架构 是 什么 样 的 ? 
12. 简要 描述 移动 IP 与 AAA 结合 的 注册 过 程 。 


O mo Dh 
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